科目A問14
A 社では,従業員が自宅の PC からインターネット経由で自社のネットワークに接続して仕事を行うテレワーキングの実施を計画している。A 社が定めたテレワーキング運用規程について,情報セキュリティ管理基準(平成 28 年)に従って監査を実施した。判明した事項のうち,監査人が,指摘事項として監査報告書に記載すべきものはどれか。
| テレワーキング運用規程に従うことを条件に,全ての従業員が利用できる。 | |
| テレワーキングで従業員が使用する PC は,A 社から支給されたものに限定する。 | |
| テレワーキングで使用する PC へのマルウェア対策ソフト導入の要不要は,従業員それぞれが判断する。 | |
| テレワーキングで使用する PC を,従業員の家族に使用させない。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ウ
解説
情報セキュリティ管理基準(平成28年)では、テレワーキングにおいても組織として統一したセキュリティ対策を定め、利用者任せにしない管理が求められます。特に端末対策やマルウェア対策は、情報漏えいや不正侵入のリスクに直結するため、会社として明確に規定・統制する必要があります。従業員個人の判断に委ねる運用は、統制不十分と評価され、監査では指摘事項となります。
| ア. | テレワーキング運用規程に従うことを条件に,全ての従業員が利用できる。 |
| 運用規程を条件に利用を認めること自体は問題なく、指摘事項にはなりません。 | |
| イ. | テレワーキングで従業員が使用する PC は,A 社から支給されたものに限定する。 |
| 会社支給PCに限定する運用は、管理強化の観点から適切な対策です。 | |
| ウ. | テレワーキングで使用する PC へのマルウェア対策ソフト導入の要不要は,従業員それぞれが判断する。 |
| テレワーキングで使用するPCのマルウェア対策を従業員判断に任せており、組織としてのセキュリティ統制が不十分である点が問題です。 | |
| エ. | テレワーキングで使用する PC を,従業員の家族に使用させない。 |
| 家族利用を禁止することは、情報漏えい防止の観点で適切な対策です。 |