午前問70
ISMSにおける情報セキュリティ方針の説明として、適切なものはどれか。
| 個人情報を取り扱う事業者が守るべき義務を規定するものである。 | |
| 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。 | |
| 情報セキュリティに対する組織の意図を示し、方向付けをするものである。 | |
| 保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ウ
解説
情報セキュリティ方針は、組織のトップマネジメントが最終責任を負って策定する宣言文書で、組織が情報セキュリティに取り組む意思と方向性を明確に示します。達成すべき目標、その目標に向けた基本的な考え方、並びに情報セキュリティを確保するための体制・組織・運用の枠組みを網羅的に定めます。したがって、組織の意図を示し方向付けを行うという説明のウが適切です。
| ア. | 個人情報を取り扱う事業者が守るべき義務を規定するものである。 |
| 個人情報取扱事業者の義務に関する内容であり、プライバシーポリシーや個人情報保護に関する指針の説明です。情報セキュリティ方針の説明ではありません。 | |
| イ. | 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。 |
| 情報セキュリティ方針はトップマネジメントが確立する上位文書であり、具体的な実施手順までは示しません。したがって不適切です。 | |
| ウ. | 情報セキュリティに対する組織の意図を示し、方向付けをするものである。 |
| 組織の意図を示し、情報セキュリティへの方向付けを行うという説明であり、適切です。 | |
| エ. | 保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。 |
| サーバ設定値のような情報資産ごとの具体的・詳細な管理策は、情報セキュリティ方針には規定しません。 |