HOME»ITパスポート平成29年秋期»問68
ITパスポート平成29年秋期 問68
問68
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
- 同じ業種であれば記述内容は同じである。
- 全社共通のPCの設定ルールを定めたものである。
- トップマネジメントが確立しなければならない。
- 部門ごとに最適化された情報セキュリティ方針を,個別に策定する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
情報セキュリティ方針は、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などが包括的に規定されます。
- 業種ごとのひな形を利用しても問題ありませんが、組織独自の部分についてはそれぞれの業務に適合する内容に修正しなければなりません。
- 情報セキュリティ方針は、情報セキュリティに対する組織的枠組みを示すものなので、具体的な規則や手順・マニュアルなどは含みません。それらは対策基準または実施基準に定められます。
- 正しい。情報セキュリティ方針はトップマネジメント(経営層)により確立されます。JIS Q 27001では、情報セキュリティ方針への経営層の関与について、「トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立しなければならない」と定めています。
- 情報セキュリティ方針はシステムや部門ごとに制定されるものではなく、組織全体として目標とするレベルを定めたものです。