予想問題vol.1 問19
問19
組織で策定する情報セキュリティポリシーに関する記述のうち,最も適切なものはどれか。
- 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
- 情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順も社外に公開することが求められている。
- 情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが,最上位の情報セキュリティ基本方針は業界標準の雛(ひな)形をそのまま採用することが求められている。
- 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
- [出典]
- ITパスポート H26秋期 問61
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
エ
解説
情報セキュリティポリシーは、企業や組織として一貫したセキュリティ対策を行うために、技術的対策だけでなく、利用・運用面、管理面、組織体制をも含めた、企業や組織のセキュリティ方針と対策の基準を示したものです。
組織の経営者がセキュリティの最高責任者として「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言します。
組織の経営者がセキュリティの最高責任者として「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言します。
- 規則や手順・マニュアルなどの実施基準は情報システム毎、あるいは部門毎に作成・管理され、各部門の部門長が承認者であることが一般的です。
- 社外に公開することを求められているのは基本方針だけです。
- 業界のひな形を利用することはいいのですが、企業それぞれの独自の部分については業務内容に合う内容にすることが求められます。
- 正しい。情報セキュリティポリシーはシステムや部門ごとに制定されるものではなく、企業全体として目標とするレベルを定義するものです。