予想問題vol.7 問47
問47
重要情報の取扱いを委託する場合における,委託元の情報セキュリティ管理のうち,適切なものはどれか。
- 委託先が再委託を行うかどうかは委託先の判断に委ね,事前報告も不要とする。
- 委託先の情報セキュリティ対策が確認できない場合は,短期間の業務に限定して委託する。
- 委託先の情報セキュリティ対策が適切かどうかは,契約開始前ではなく契約終了時に評価する。
- 情報の安全管理に必要な事項を事前に確認し,それらの事項を盛り込んだ上で委託先との契約書を取り交わす。
- [出典]
- 応用情報技術者 H28春期 問38
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
エ
解説
委託元組織は、委託先による組織の情報へのアクセスに具体的に対処するため、適切な情報セキュリティ管理策を定め、委託先に義務付けることが重要です。
- 重要情報にアクセスする組織や要員の範囲が変更される場合は、委託元の認可を得る様な手順を定めるべきです。
- 情報セキュリティの要求事項について委託先と合意できない場合は契約すべきではありません。
- 委託先との間に誤解がないことを確実にするために、情報セキュリティ対策の評価は契約開始前に行うべきです。
- 正しい。JIS Q 27001:2014では、「組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について,供給者と合意し,文書化しなければならない」としています。