情報セキュリティ

基本情報技術者試験情報資産の格付け」の問題

情報セキュリティ情報セキュリティ難易度:normal
I社では情報資産を機密度に応じて『極秘・社外秘・公開』の三段階に格付けする制度を整えた。次の運用として、格付け制度を実効あるものにするために最も適切なものはどれか。
格付けは定めるが、保管・送付・廃棄の方法は全資産で共通とし区別しない。
格付けの判断は各担当者の感覚に委ね、組織としての基準は設けない。
格付けは一度決めたら見直さず、資産の状況が変わっても固定したままにする。
区分ごとに保管・送付・廃棄の扱い方を定め、資産に表示して回す。
正解
区分ごとに保管・送付・廃棄の扱い方を定め、資産に表示して回す。

情報資産の格付けは、機密度に応じて取扱いを変えるための前提である。格付けごとに保管・アクセス・送付・廃棄などの取扱ルールを具体的に定め、資産に格付けを表示して周知・運用することで、はじめて格付け制度が実際の保護に結び付き実効性を持つ。

?選択肢ごとの解説

ア ×格付けを定めても取扱方法を共通にすれば、機密度の差が運用に反映されず、格付けした意味が失われる。
イ ×判断を担当者の感覚に委ね組織基準を設けないと、同じ情報でも人により格付けが揺れ、一貫した保護ができない。
ウ ×資産の機密度は時間とともに変化するため、格付けを固定し見直さないと実態と乖離し、過剰保護や保護不足を招く。
エ ○情報資産の格付けは、機密度に応じて取扱いを変えるための前提である。格付けごとに保管・アクセス・送付・廃棄などの取扱ルールを具体的に定め、資産に格付けを表示して周知・運用することで、はじめて格付け制度が実際の保護に結び付き実効性を持つ。

くわしく

情報資産管理は『格付け(ラベリング)』と『格付けに応じた取扱い』の対が揃って機能する。格付けは手段であり、目的は機密度に比例した保護資源の配分である。表示・取扱ルール・定期見直しまで含めて運用設計する点が要諦である。

本番での押さえどころ

試験のコツ

格付けは『区分ごとの取扱ルール+表示+見直し』まで揃えて実効性を持つ。区分を決めただけでは不十分。

覚え方

格付けは『ラベルを貼って扱いを変える』。ラベルだけ貼って扱いが同じなら意味がない。

よくある誤り

格付け区分を決めること自体をゴールと捉え、区分ごとの取扱ルールの整備や表示・見直しという運用部分を欠落させる。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0141

【基本情報技術者試験】情報資産の格付けの問題 — 解答・解説|ukamiru 過去問