HOME»ITパスポート掲示板»平成26年秋期 問61
投稿する
平成26年秋期 問61 [1412]
通りすがりの者さん(No.1)
解説のエに「情報セキュリティポリシは・・・」とあります。
選択肢エにあるのは、「情報セキュリティ基本方針」ですから、これに合わせた方がいいです。
情報セキュリティポリシは、「情報セキュリティ基本方針」、または「情報セキュリティ基本方針」+「情報セキュリティ対策基準」ですから、対策基準も含めて組織全体で統一すべきということはないと思います。
選択肢エにあるのは、「情報セキュリティ基本方針」ですから、これに合わせた方がいいです。
情報セキュリティポリシは、「情報セキュリティ基本方針」、または「情報セキュリティ基本方針」+「情報セキュリティ対策基準」ですから、対策基準も含めて組織全体で統一すべきということはないと思います。
2018.01.13 19:49
管理人(No.2)
ご報告ありがとうございます。
確かにポリシの範囲は確定的なものではないため、対策基準も含まれるとするならば、組織全体(適用範囲)で統一するという説明では誤解が生まれかねませんね。(エ)を基本方針に限定した説明に改善いたしました。
また解説中に、情報セキュリティポリシの一般的な構成についての説明を加え、その上で「情報セキュリティ基本方針は・・・」と続けるように変更いたしました。
確かにポリシの範囲は確定的なものではないため、対策基準も含まれるとするならば、組織全体(適用範囲)で統一するという説明では誤解が生まれかねませんね。(エ)を基本方針に限定した説明に改善いたしました。
また解説中に、情報セキュリティポリシの一般的な構成についての説明を加え、その上で「情報セキュリティ基本方針は・・・」と続けるように変更いたしました。
2018.01.19 15:53
通りすがりの者さん(No.3)
情報セキュリティポリシは、一般的に「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3階層の文書構成をとります。
となっていますが、ポリシは、実施手順を含まない(まれに、基本方針のみとする説明もある)ので、以下の方がいいと思います。
情報セキュリティポリシは、一般的に「情報セキュリティ基本方針」「情報セキュリティ対策基準」の2階層の文書構成をとります。
となっていますが、ポリシは、実施手順を含まない(まれに、基本方針のみとする説明もある)ので、以下の方がいいと思います。
情報セキュリティポリシは、一般的に「情報セキュリティ基本方針」「情報セキュリティ対策基準」の2階層の文書構成をとります。
2018.01.19 17:15
管理人(No.4)
情報セキュリティポリシについてはIPAのWEbサイトに「情報セキュリティポリシーの文書構成は、特に決まりはありませんが、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3階層の文書構成をとるのが一般的です。」と記載されているので、本サイトでは、この説明を基本として説明をしております。
参考URL: 情報セキュリティマネジメントとPDCAサイクル
https://www.ipa.go.jp/security/manager/protect/pdca/policy.html
ただ、上記ページ内でも「通常、基本方針と対策基準の2つをセキュリティポリシーとするケースが多いようです。」とされているように、一般的な運用においては、基本方針と対策基準をポリシの範囲とすると考えています。
参考URL: 情報セキュリティマネジメントとPDCAサイクル
https://www.ipa.go.jp/security/manager/protect/pdca/policy.html
ただ、上記ページ内でも「通常、基本方針と対策基準の2つをセキュリティポリシーとするケースが多いようです。」とされているように、一般的な運用においては、基本方針と対策基準をポリシの範囲とすると考えています。
2018.01.22 14:59