午前問93
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
| 企業の現状とは切り離して、目標とする理想形を記述するのがよい。 | |
| 周知は情報セキュリティ担当者だけに限定するのがよい。 | |
| トップマネジメントが確立しなければならない。 | |
| 適用範囲が企業全体であっても、部門単位で制定するのがよい。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ウ
解説
ISMSの情報セキュリティ方針は、組織のトップマネジメントが責任を負い、情報セキュリティへの本格的な取り組み姿勢と、達成すべき目標および行動方針を内外に示す文書です。情報資産をどのような脅威からどう守るかという基本的な考え方や、確保のための体制・組織・運用までを包括的に示します。方針は組織の目的に適合し、組織のプロセスにISMSの要求事項を統合する必要があります。また組織内に伝達するとともに、外部の利害関係者が必要に応じて入手できるようにしておく必要があります。JIS Q 27001:2014では「情報セキュリティ方針はトップマネジメントが確立しなければならない」と定められており、方針は適用範囲ごとに一つです。以上より、ウが適切です。
| ア. | 企業の現状とは切り離して、目標とする理想形を記述するのがよい。 |
| 不適切です。方針は組織の目的に適合し、組織のプロセスにISMS要求事項を統合する必要があるため、現状と切り離した理想像だけを記述するのは妥当ではありません。 | |
| イ. | 周知は情報セキュリティ担当者だけに限定するのがよい。 |
| 不適切です。方針は組織内に伝達し、必要に応じて外部の利害関係者にも入手可能とする必要があり、情報セキュリティ担当者だけに限定して周知するものではありません。 | |
| ウ. | トップマネジメントが確立しなければならない。 |
| 適切です。JIS Q 27001:2014は、情報セキュリティ方針をトップマネジメントが確立しなければならないと規定しています。 | |
| エ. | 適用範囲が企業全体であっても、部門単位で制定するのがよい。 |
| 不適切です。方針は適用範囲ごとに一つです。適用範囲が企業全体であれば、部門ごとに別々に制定するものではありません。 |