科目A問8
情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について,情報セキュリティ管理基準(平成 28 年)に基づき監査を実施した。監査人が,指摘事項として監査報告書に記載すべきものはどれか。
| 従業員による情報セキュリティ違反の可能性を認識したら,直ちに懲戒手続を開始することを定めていた。 | |
| 懲戒手続は,情報セキュリティ違反による業務への影響度,違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。 | |
| 懲戒手続は,情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。 | |
| 懲戒手続を具体化した細則を策定すること,及び従業員に周知徹底することを定めていた。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
情報セキュリティ管理基準(平成28年)では、従業員による情報セキュリティ違反に対しては、公平かつ一貫性のある懲戒手続きを定めることが求められています。
懲戒の判断においては、個人への感情や主観を排除し、客観的な基準に基づいて処分を行うことが重要です。
したがって、懲戒手続における公平性・客観性を明記した内容が指摘事項に該当します。
懲戒の判断においては、個人への感情や主観を排除し、客観的な基準に基づいて処分を行うことが重要です。
したがって、懲戒手続における公平性・客観性を明記した内容が指摘事項に該当します。
| ア. | 従業員による情報セキュリティ違反の可能性を認識したら,直ちに懲戒手続を開始することを定めていた。 |
| 誤り。違反の「可能性」があるだけで懲戒を開始するのは、適正手続を欠く不当な運用です。 | |
| イ. | 懲戒手続は,情報セキュリティ違反による業務への影響度,違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。 |
| 誤り。教育状況などを考慮するのは妥当ですが、監査の趣旨は公平性確保にあります。 | |
| ウ. | 懲戒手続は,情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。 |
| 正しい。恣意性を排除し、すべての従業員を公平に扱うことが情報セキュリティ管理基準の要求事項です。 | |
| エ. | 懲戒手続を具体化した細則を策定すること,及び従業員に周知徹底することを定めていた。 |
| 誤り。周知徹底は必要ですが、懲戒手続そのものの公平性に関する記述が欠けています。 |