科目A問96
情報セキュリティ方針に関する記述として,適切なものはどれか。
| 一度定めた内容は,運用が定着するまで変更してはいけない。 | |
| 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。 | |
| 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。 | |
| 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- エ
解説
情報セキュリティ方針は、組織の経営者が最終責任を負い、情報セキュリティへの本格的な取り組み姿勢を内外に示す宣言文書です。守るべき目標と、その達成に向けて組織が取る行動、ならびにそれに対する経営陣の責任を明確に示します。内容の有効性・妥当性を保つため、内外の状況変化に応じて定期的な改善を行うことが求められます。理想論に終始せず、実行可能な方針であることが重要です。また、必要に応じて利害関係者が入手可能であることが求められるため、非公開扱いにするのは不適切です。組織の基本的な考え方や取り組み方を示す位置付けであり、詳細な手順書を含むものではありません。対策は組織の事情で大きく異なるため、自社の事業、組織の特性、保有する情報資産などを踏まえて策定するのが適切です。正解はエです。
| ア. | 一度定めた内容は,運用が定着するまで変更してはいけない。 |
| 不適切です。内外の変化に合わせて定期的な改善を行うべきであり、運用が定着するまで変更してはいけないという考え方は誤りです。 | |
| イ. | 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。 |
| 不適切です。理想像の提示に終わるのではなく、目的とそれを実現するための取り組み、および経営陣の責任を明確にし、現実的に遵守できる内容である必要があります。 | |
| ウ. | 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。 |
| 不適切です。方針は必要に応じて利害関係者が入手可能であることが求められ、非公開として厳重管理するのは適切ではありません。具体的な手順書ではないため、公開しても差し支えありません。 | |
| エ. | 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。 |
| 適切です。対策は画一的ではないため、事業内容、組織の特性、情報資産の特徴を踏まえて方針を策定する必要があります。 |