情報セキュリティマネジメント令和7年度問8 情報セキュリティ管理監査

情報セキュリティマネジメント令和7年度科目A 問8

情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について，情報セキュリティ管理基準(平成28年)に基づき監査を実施した。監査人が，指摘事項として監査報告書に記載すべきものはどれか。

マネジメント系 » システム監査 » システム監査

ア

正しい。"懲戒手続は、情報セキュリティ違反が生じたことの事前の確認を待って開始する"としています。したがって、「直ちに懲戒手続を開始する」という対応は、このルールに反しており、指摘事項に該当します。
"正式な懲戒手続は、違反の内容及び重大さ並びにその業務上の影響、最初の違反か又は繰り返されたものか、違反者は、適切に教育・訓練されていたかどうか、関連する法令、取引契約、その他の必要な要素を考慮した段階別の対応を定める"としています。このため、懲戒の内容を一律とするのではなく、状況に応じて段階的に対応する仕組みは適切といえます。
"正式な懲戒手続には、情報セキュリティ違反を犯したという疑いがかけられた従業員に対する正確かつ公平な取扱いを含める"としています。このため、懲戒手続が正確かつ公平に実施されるよう規定することは、適切な内容であるといえます。
"情報セキュリティ違反を犯した従業員に対して処置をとるための、正式かつ周知された懲戒手続を備える"としています。具体的な手続を定め、それを従業員に知らせておくことは、違反の抑止につながるため、適切な内容であるといえます。