情報セキュリティマネジメント平成28年春期 午前問6
問6
JIS Q 27001に基づく情報セキュリティ方針の取扱いとして,適切なものはどれか。
- 機密情報として厳格な管理を行う。
- 従業員及び関連する外部関係者に通知する。
- 情報セキュリティ担当者各人が作成する。
- 制定後はレビューできないので,見直しの必要がない内容で作成する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
情報セキュリティ方針は、「組織が情報セキュリティに対してどのように取り組むか」という基本的な考え方・方針を明文化したもので、目的、対象範囲、組織体制、罰則などが含まれます。
JIS Q 27001において、情報セキュリティ方針は、経営層などのトップマネジメントによって確立されるものであり、次の事項を満たす必要があると記述されています。
JIS Q 27001において、情報セキュリティ方針は、経営層などのトップマネジメントによって確立されるものであり、次の事項を満たす必要があると記述されています。
- 組織の目的に対して適切である。
- 情報セキュリティ目的を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
- 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
- ISMSの継続的改善へのコミットメントを含む。
- 文書化した情報として利用可能である。
- 組織内に伝達する。
- 必要に応じて,利害関係者が入手可能である。
- 外部関係者に対して通知し、必要に応じて、利害関係者が入手可能であることが求められるため、機密情報としての扱いは不適切です。
- 正しい。全ての従業員に周知させ、外部関係者には通知する必要があります。
- 情報セキュリティ方針は、トップマネジメントによって承認・発行されます。
- 情報セキュリティ方針は、有効性・妥当性を維持するために、あらかじめ定めた間隔で、又は重大な変化が発生した場合にレビューを行う必要があります。