情報セキュリティ管理 (全115問中22問目)
No.22
情報セキュリティ方針に関する記述として,適切なものはどれか。
出典:令和3年春期 問96
- 一度定めた内容は,運用が定着するまで変更してはいけない。
- 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
- 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
- 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
エ
解説
情報セキュリティ方針(ポリシー)は、組織の経営者が最終的な責任者となり「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言する文書です。
- 有効性・妥当性を維持するために、組織内外の変化に応じて定期的な改善をすることが求められます。
- 情報セキュリティ方針には、情報セキュリティの目的とその目的を実現するための施策に対する経営陣の責任を記載します。理想像に終始し実際に守れない方針では意味がありません。
- 情報セキュリティ方針は、必要に応じて利害関係者が入手可能な状態になっていなければなりません。よって、非公開文書にするのは不適切です。基本的な考え方や取組み方を示すという位置付けで、具体的な対策手順や実施手順が記述されているわけではないので、公開しても問題はありません。
- 正しい。組織が行うべき情報セキュリティ対策は、画一的なものではなく、その組織の持つ情報や組織の規模、体制によって大きく異なります。業務形態、ネットワークやシステムの構成、保有する情報資産などを踏まえた上で、その内容に見合った情報セキュリティ方針を作成しなければなりません。