平成21年秋期試験問題 問56

情報セキュリティポリシーに関する記述のうち,適切なものはどれか。

  • 企業のセキュリティポリシーは,会社法の規定に基づき,株主総会で承認を得なければならない。
  • 企業のセキュリティポリシーは,導入するシステムごとに定義する必要がある。
  • セキュリティポリシー策定の要因となっている情報システムの脆(ぜい)弱性を対外的に公表しなければならない。
  • 目標とするセキュリティレベルを達成するために,遵守すべき行為及び判断についての考え方を明確にすることが必要である。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティポリシーとは、企業などの組織における情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたものです。
情報セキュリティポリシーの具体的内容の例としては、次のようなものがあります。
  • どの操作を誰に対して許可し、誰に許可しないか。
  • どの情報を誰にアクセスさせ、誰にアクセスさせないか。
  • ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
  • それらが正常に機能していることをどのように確認し、維持管理していくか。
選択肢「エ」の説明は、遵守すべき行為及び判断についての考え方を明確にするという情報セキュリティポリシーの正しい説明です。
  • 会社法にそのような規定はありません。
  • 情報セキュリティポリシーはシステムごとに制定されるものではなく、企業全体として目標とする目標レベルを策定するものです。
  • 情報システムの脆(ぜい)弱性を対外的に公表するのは企業として危険な行為です。
  • 正しい。

Pagetop