ITパスポート 平成22年秋期 問76

問76

情報セキュリティポリシに関する考え方のうち,適切なものはどれか。
  • いかなる情報資産に対しても,実施する対策の費用は同一であることが望ましい。
  • 情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は,経営者を始めとした幹部だけに開示すべきである。
  • 情報セキュリティポリシの適用対象としては,社員だけでなく,パートなども含めた全従業員とすべきである。
  • 情報セキュリティポリシを初めて作成する場合は,同業他社のポリシをサンプルとして,できるだけそのまま利用することが望ましい。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

情報セキュリティポリシーとは、企業などの組織における情報資産の情報セキュリティ対策について具体的に取りまとめたもので、情報資産をそのような脅威からどのように守るのかという基本方針と、そのための体制や運用を規定します。

解説については、平成12年7月18日に情報セキュリティ対策推進会議で決定された"情報セキュリティポリシーに関するガイドライン"を参考にしました。
  • リスクに対する対策では、リスク分析を実施した結果判明した、被害の大きさと発生頻度を踏まえて費用を振りわける必要があります。
  • 「職員がポリシー及び実施手順(個別マニュアルとしてもよい)に記載されている内容を遵守して、情報セキュリティ対策を有効に機能させる義務があること、不明な点に関する助言の推奨等を定める。」とあるので一般職員にもポリシを公開し、方針や運用についての理解を促す必要があります。
  • 正しい。ポリシには方針だけでなく実施手順や運用についても規定することになっており、全職員に対して適用されます。
  • 同業他社のポリシを参考程度にすることは良いと思いますが、自社と他社では異なる部分については、自社の業務状況に合うような内容を独自に策定する必要があります。
参考URL:情報セキュリティポリシーガイドライン
 http://www.kantei.go.jp/jp/it/security/taisaku/guideline.html
© 2009-2017 ITパスポート試験ドットコム All Rights Reserved.

Pagetop