問題本文
情報セキュリティ対策において,情報を保護レベルによって分類して管理するとき,管理方法として,適切なものだけを全て挙げたものはどれか。 a 情報に付与した保護レベルは,廃棄するまで変更しない。 b 情報の取扱い手順は,保護レベルごとに定める。 c 情報の保護レベルは,組織が作成した基準によって決める。 d 保護レベルで管理する対象を,電子データとそれを保存した保存媒体に限定する。
解説
情報の保護レベル管理の適切な方法を判断する問題。aの「保護レベルは廃棄まで変更しない」は誤り:情報の重要度は状況の変化に応じて見直す必要がある(例:公開予定の未公開情報は時間経過で重要度変化)。bの「保護レベル別に取扱手順を定める」は正しい。cの「組織の基準でレベルを決める」は正しい。dの「電子データと保存媒体に限定」は誤り:紙文書・口頭情報・ホワイトボード等も情報資産として管理対象にすべきである。よってb・cを選ぶウが正解。
選択肢ごとの解説
- ア.誤り。aが誤りを含むため選択肢アは不正解。情報の保護レベルは「廃棄まで変更しない」のではなく、情報の内容・状況の変化(公開・陳腐化・機密解除等)に応じて適宜見直す必要がある。cは正しい記述だが、aが誤りを含むためa・cの組み合わせを正とする選択肢は不正解となる。
- イ.誤り。aが誤り(保護レベルは廃棄まで変更しない)かつdが誤り(電子データと保存媒体に限定)の両方を含む選択肢。紙文書・印刷物・口頭情報・ホワイトボードの記載なども情報資産として管理対象に含める必要があり、電子データ・保存媒体に限定するdも誤りである。
- ウ.正解。bの「保護レベルごとに取扱手順(アクセス権限・保管場所・廃棄方法等)を定める」とcの「組織が策定した基準によりレベルを決める」のみが正しい。情報分類基準の組織統一化(c)と分類別取扱ルールの明確化(b)が情報セキュリティ管理の基本となる。
- エ.誤り。dが誤りを含む選択肢。電子データと保存媒体だけに限定せず、紙文書・印刷物・口頭情報・ホワイトボードの記載・画像・映像なども情報資産として包括的に管理対象にすべき。dを正しい記述として含む選択肢は情報セキュリティ管理の観点から誤りとなる。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問78