平成28年春期試験問題 問73

情報セキュリティマネジメントシステムを構築した企業において,情報セキュリティ方針を改訂したことを周知する範囲として,適切なものはどれか。

  • 機密情報を扱う部署の従業員
  • 経営者
  • 全ての従業員及び関連する外部関係者
  • セキュリティ管理者
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティ方針(情報セキュリティポリシー)は、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などの枠組みが包括的に規定されます。
策定した情報セキュリティ方針には、有効性・妥当性を維持するために定期的な改善をすること、及び、全ての従業員に対して周知させることが求められます。

また情報セキュリティマネジメントシステムの要求事項が記載されたJIS Q 27001:2014では、情報セキュリティ方針が満たすべき事項として以下の3つを掲げています。
  1. 文書化した情報として利用可能である。
  2. 組織内に伝達する。
  3. 必要に応じて,利害関係者が入手可能である。
したがって改訂時には、組織内に周知させると共に利害関係者に伝達することが求められることになります。以上より正解は「ウ」です。

Pagetop