平成24年春期試験問題 午前Ⅱ 問21

ISMS適合性能評価制度における情報セキュリティ基本方針に関する記述のうち,適切なものはどれか。

  • 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。
  • 情報セキュリティの基本方針を述べたものであり,ビジネス環境や技術が変化しても変更してはならない。
  • 情報セキュリティのための経営陣の方向性及び支持を規定する。
  • 特定のシステムについてリスク分析を行い,そのセキュリティ対策とシステム運用の詳細を記述する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティ基本方針(情報セキュリティポリシー)は、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などの枠組みが包括的に規定されます。
策定した情報セキュリティ基本方針には、有効性・妥当性を維持するために定期的な改善をすること、及び、全ての従業員に対して周知させることが求められます。
  • 必要に応じて利害関係者が入手可能であることが求められます。
  • 環境や状況の変化に適合するように、継続的に改訂することが求められます。
  • 正しい。ISMSの要求事項を定義したJIS Q 27001では、「トップマネジメント(経営陣)の責任において情報セキュリティ基本方針を確立しなければならない」と明記されています。
  • 具体的なセキュリティ対策は、情報セキュリティ基本方針ではなく情報セキュリティ実施手順に規定します。

Pagetop