HOME»ITパスポート平成30年春期»問93
ITパスポート平成30年春期 問93
問93
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
- 企業の現状とは切り離して,目標とする理想形を記述するのがよい。
- 周知は情報セキュリティ担当者だけに限定するのがよい。
- トップマネジメントが確立しなければならない。
- 適用範囲が企業全体であっても,部門単位で制定するのがよい。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
情報セキュリティ方針は、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などが包括的に規定されます。
- 情報セキュリティ方針は組織の目的に対して適切な内容でなければなりません。また組織のプロセスにISMSの要求事項を統合しなければなりません。
- 組織内に伝達するとともに、組織外の利害関係者が必要に応じて入手できるようにしておかなければなりません。
- 正しい。情報セキュリティマネジメントシステム(ISMS)への要求事項を定めたJIS Q 27001:2014では「情報セキュリティ方針はトップマネジメントが確立しなければならない」と規定しています。
- 情報セキュリティ方針は1つの適用範囲に1つだけです。