情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和7年度 科目A 公開問題 問8: 情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について,情報セキュリティ管理基準(平成28年)に基づき監査を実施した。
←情報セキュリティマネジメント試験 令和7年度 科目A 公開問題
情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について,情報セキュリティ管理基準(平成28年)に基づき監査を実施した。監査人が,指摘事項として監査報告書に記載すべきものはどれか。
問題本文
情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について,情報セキュリティ管理基準(平成28年)に基づき監査を実施した。監査人が,指摘事項として監査報告書に記載すべきものはどれか。
選択肢
- ア.従業員による情報セキュリティ違反の可能性を認識したら,直ちに懲戒手続を開始することを定めていた。
- イ.懲戒手続は,情報セキュリティ違反による業務への影響度,違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。
- ウ.懲戒手続は,情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。
- エ.懲戒手続を具体化した細則を策定すること,及び従業員に周知徹底することを定めていた。
正解
ア. 従業員による情報セキュリティ違反の可能性を認識したら,直ちに懲戒手続を開始することを定めていた。
解説
情報セキュリティ管理基準では,懲戒手続は違反の事実を正式に確認した上で,公平・段階的に,かつ細則を整備し周知徹底して行うことが求められる。指摘事項として記載すべきは「望ましくない=基準に適合しない」記述であり,アは違反の事実確認を経ず「可能性を認識したら直ちに」手続を開始する点で適正手続に反するため正解(=不備)。イ・ウ・エはいずれも基準に沿った望ましい定めである。
選択肢ごとの解説
- ア.違反の事実確認を経ずに可能性の認識だけで直ちに懲戒手続を開始するのは適正な手続に反し望ましくないため,指摘事項として記載すべきであり正しい。
- イ.影響度や教育状況を考慮した段階別の対応は基準に沿った適切な定めであり,指摘事項ではないため誤り。
- ウ.恣意性を排除した公平な取扱いの定めは基準に沿った望ましい内容であり,指摘事項ではないため誤り。
- エ.細則の策定と従業員への周知徹底は基準が求める望ましい措置であり,指摘事項ではないため誤り。
情報セキュリティマネジメント試験 令和7年度 科目A 公開問題 の過去問一覧へ戻る・問8