情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問9: 組織での情報資産管理台帳の記入方法のうち，IPA“中小企業の情報セキュリティ対策ガイドライン（第2.1版）”に照らして，適切なものはどれか。

問題本文

組織での情報資産管理台帳の記入方法のうち，IPA“中小企業の情報セキュリティ対策ガイドライン（第2.1版）”に照らして，適切なものはどれか。

選択肢

• ア.様々な情報が混在し，重要度を一律に評価できないドキュメントファイルは，企業の存続を左右しかねない情報や個人情報を含む場合だけ台帳に記入する。
• イ.時間経過に伴い重要度が変化する情報資産は，重要度が確定してから，又は組織で定めた未記入措置期間が経過してから，台帳に記入する。
• ウ.情報資産を紙媒体と電子データの両方で保存している場合は，いずれか片方だけを台帳に記入する。
• エ.利用しているクラウドサービスに保存している情報資産を含めて，台帳に記入する。

正解

エ. 利用しているクラウドサービスに保存している情報資産を含めて，台帳に記入する。

解説

情報資産管理台帳は、組織が守るべき情報資産を漏れなく洗い出して把握するための基礎であり、保存場所や媒体を問わず網羅的に記入することが原則である。クラウドサービス上に保存している情報資産も組織が責任をもって管理すべき対象であるため、それを含めて台帳に記入するとしたエが適切である。

選択肢ごとの解説

• ア.重要度を一律評価できないファイルも漏れなく洗い出して台帳に記入すべきで、特定の情報を含む場合だけに限定するのは不適切。
• イ.重要度が変化する資産も把握漏れを防ぐためまず台帳に記入し随時見直すべきで、確定まで記入を先送りするのは不適切。
• ウ.紙と電子で保存している場合はそれぞれ保護すべき対象なので両方を記入すべきで、片方だけにするのは不適切。
• エ.クラウド上の情報資産も組織が管理責任を負う対象であり、これを含めて台帳に記入するのが適切である。