情報セキュリティに関する従業員の責任について、“情報セキュリティ監査基準”に基づいて監査を行った。指摘事項に該当するものはどれか。
ア | 雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている。 |
イ | 定められた勤務時間以外においても守秘責任を負うことが、雇用契約に定められている。 |
ウ | 定められた守秘責任を果たさなかった場合、相応の措置がとられることが、雇用契約に定められている。 |
エ | 定められた内容の守秘義務契約書に署名することが、雇用契約に定められている。 |
情報セキュリティ監査基準とは、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
情報セキュリティ管理基準よりア | ○ | 情報セキュリティ管理基準4.3.1.1に反するので指摘事項に該当する。 4.3.1.1 雇用の終了に関する責任の伝達事項には、実施中のセキュリティ要求事項及び法的責任 並びに、適切ならば、従業員、契約相手及び第三者の利用者の、雇用終了以降の一定期 間継続する、秘密保持契約及び雇用条件に規定された責任を含める |
イ | × | 4.1.3.7に定められているので適法である。 4.1.3.7 雇用条件には、組織の構外及び通常の勤務時間外に及ぶ責任(例えば、在宅勤務における責任)を含める |
ウ | × | 4.1.3.8に定められているので適法である。 4.1.3.8 雇用条件には、従業員、契約相手及び第三者の利用者が組織のセキュリティ要求事項に 従わない場合に取る処置を含める |
エ | × | 4.1.3.2に定められているので適法である。 4.1.3.2 雇用条件には、取扱いに慎重を要する情報へのアクセスが与えられる、すべての従業員、契約相手及び第三者の利用者による、情報処理施設へのアクセスが与えられる前の、秘密保持契約書又は守秘義務契約書への署名を含める |