平成26年秋期試験問題 問61

組織で策定する情報セキュリティポリシーに関する記述のうち,最も適切なものはどれか。

  • 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
  • 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順も社外に公開することが求められている。
  • 情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが,最上位の情報セキュリティ基本方針は業界標準の雛(ひな)形をそのまま採用することが求められている。
  • 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティポリシーは、企業や組織として一貫したセキュリティ対策を行うために、技術的対策だけでなく、利用・運用面、管理面、組織体制をも含めた、企業や組織のセキュリティ方針と対策の基準を示したものです。
情報セキュリティポリシーは、一般的に「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3階層の文書構成をとります。このうち情報セキュリティ基本方針は、「組織の経営者がセキュリティの最高責任者として、情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言する文書です。
  • 規則や手順・マニュアルなどの実施基準は情報システム毎、あるいは部門毎に作成・管理され、各部門の部門長が承認者であることが一般的です。
  • 社外に公開することを求められているのは基本方針だけです。
  • 業界のひな形を利用することはいいのですが、各組織の独自の部分については業務内容に合う内容にすることが求められます。
  • 正しい。情報セキュリティ基本方針はシステムや部門ごとに制定されるものではなく、組織全体として目標とするセキュリティレベルを定義するものです。

Pagetop