午前問84
内外に宣言する最上位の情報セキュリティポリシーに記載することとして,最も適切なものはどれか。
| 経営陣が情報セキュリティに取り組む姿勢 | |
| 情報資産を守るための具体的で詳細な手順 | |
| セキュリティ対策に掛ける費用 | |
| 守る対象とする具体的な個々の情報資産 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
情報セキュリティポリシーは、一般に基本方針・対策基準・実施手順の3層で構成されます。設問が指す最上位の文書は基本方針であり、経営陣が最終責任者として情報セキュリティに取り組む姿勢を示し、セキュリティの目標や適用範囲、それを達成するために組織が取るべき行動を社内外への宣言として示します。したがって、アが適切です。
| ア. | 経営陣が情報セキュリティに取り組む姿勢 |
| 正解です。基本方針に記載すべき内容であり、経営陣のコミットメントを内外に示します。 | |
| イ. | 情報資産を守るための具体的で詳細な手順 |
| 誤りです。具体的・詳細な手順は、3層のうち実施手順(運用規則・マニュアル等)に記載します。 | |
| ウ. | セキュリティ対策に掛ける費用 |
| 誤りです。セキュリティ対策の費用はIT関連予算として扱う内容であり、最上位の方針に記す事項ではありません。 | |
| エ. | 守る対象とする具体的な個々の情報資産 |
| 誤りです。守る対象となる個々の情報資産の列挙は、情報資産管理台帳に記載します。 |