情報セキュリティマネジメント平成29年春期 午前問8
問8
A社は,情報システムの運用をB社に委託している。当該情報システムで発生した情報セキュリティインシデントについての対応のうち,適切なものはどれか。
- 情報セキュリティインシデント管理を一元化するために,委託契約継続可否及び再発防止策の決定をB社に任せた。
- 情報セキュリティインシデントに迅速に対応するためにサービスレベル合意書(SLA)に緊急時のセキュリティ手続を記載せず,B社の裁量に任せた。
- 情報セキュリティインシデントの発生をA社及びB社の関係者に迅速に連絡するために,あらかじめ定めた連絡経路に従ってB社から連絡した。
- 迅速に対応するために,特定の情報セキュリティインシデントの一次対応においては,事前に定めた対応手順よりも,経験豊かなB社担当者の判断を優先した。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
- 発注者は、自組織のデータを守るために情報セキュリティ管理策を特定し、委託者に義務付ける必要があります。対応を委託者の裁量に任せているため不適切です。
- 情報セキュリティ要求事項を満たすために、委託先との合意にはインシデントへの対応手順を含めなくてはなりません。
- 正しい。発生した情報セキュリティインシデントは、定められた連絡経路を通して、できるだけ速やかに適切な管理者へ報告することが求められます。
- 情報セキュリティインシデント発生時は、事前に文書化された手順に従って対応しなければなりません。対応を委託者の裁量に任せているため不適切です。