平成27年秋期試験問題 問62

ISMSの情報セキュリティ方針に関する記述として,適切なものはどれか。

  • 情報セキュリティ方針は,トップマネジメントが確立しなければならない。
  • 情報セキュリティ方針は,社外に公表してはならない。
  • 一度制定した情報セキュリティ方針は変更できない。
  • 個人情報や機密情報を扱わない従業者には,情報セキュリティ方針を周知しなくてもよい。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティ方針は、「組織が情報セキュリティに対してどのように取り組むか」という基本的な考え方・方針を明文化したもので、目的、対象範囲、組織体制、罰則などが含まれます。

ISMSの管理策では、情報セキュリティ基本方針について次のように記述されています。
  • 情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員および関連する外部関係者に通知しなければならない。
  • 情報セキュリティのための方針群は、あらかじめ定めた間隔で、又は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であることを確実にするためにレビューしなければならない。
  • 正しい。情報セキュリティ方針はトップマネジメント(経営層)により確立されます。
  • 外部関係者に対して通知し、必要に応じて、利害関係者が入手可能であることが求められます。
  • 有効性・妥当性を維持するために定期的な改善をすることが求められます。
  • 全ての従業員に対して周知させる必要があります。

Pagetop