平成27年秋期試験問題 問62
問62解説へ
ISMSの情報セキュリティ方針に関する記述として,適切なものはどれか。
- 情報セキュリティ方針は,トップマネジメントが確立しなければならない。
- 情報セキュリティ方針は,社外に公表してはならない。
- 一度制定した情報セキュリティ方針は変更できない。
- 個人情報や機密情報を扱わない従業者には,情報セキュリティ方針を周知しなくてもよい。
正解 ア問題へ
広告
解説
情報セキュリティ方針は、「組織が情報セキュリティに対してどのように取り組むか」という基本的な考え方・方針を明文化したもので、目的、対象範囲、組織体制、罰則などが含まれます。
ISMSの管理策では、情報セキュリティ基本方針について次のように記述されています。
ISMSの管理策では、情報セキュリティ基本方針について次のように記述されています。
- 情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員および関連する外部関係者に通知しなければならない。
- 情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューしなければならない。
- 正しい。情報セキュリティ方針はトップマネジメント(経営層)により確立されます。
- 外部関係者に対して通知し、必要に応じて、利害関係者が入手可能であることが求められます。
- 有効性・妥当性を維持するために定期的な改善をすることが求められます。
- 全ての従業員に対して周知させる必要があります。
広告