科目A問94
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
| 企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの | |
| 個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの | |
| 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの | |
| 情報セキュリティに対する組織の意図を示し,方向付けしたもの |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- エ
解説
情報セキュリティ方針は、ISMS(情報セキュリティマネジメントシステム)の最上位文書として位置付けられます。
国際規格であるISO/IEC 27001およびISO/IEC 27002では、組織が情報セキュリティを体系的に管理するために、まず「方針」を明確に定めることが求められています。
この方針は単なる運用手順や技術設定ではなく、経営層の意思を反映した“組織全体の方向性”を示す文書です。
具体的には、
・情報資産を守る目的
・どのようなリスクに備えるか
・どのような原則でセキュリティを運用するか
・組織としての責任体制
といった、組織全体の大枠の考え方を示します。
そのため、情報セキュリティ方針は「個別部門の手順書」「製品の設定値」「取引先との契約書」といった実務レベルの文書よりも上位に位置する基本方針であり、社内の規程や手順書はこの方針に基づいて策定されます。
また、策定後も一度で終わりではなく、
・定期的な見直し
・全従業員への周知
・組織変更や法改正への対応
が求められる点がISMSの特徴です。
国際規格であるISO/IEC 27001およびISO/IEC 27002では、組織が情報セキュリティを体系的に管理するために、まず「方針」を明確に定めることが求められています。
この方針は単なる運用手順や技術設定ではなく、経営層の意思を反映した“組織全体の方向性”を示す文書です。
具体的には、
・情報資産を守る目的
・どのようなリスクに備えるか
・どのような原則でセキュリティを運用するか
・組織としての責任体制
といった、組織全体の大枠の考え方を示します。
そのため、情報セキュリティ方針は「個別部門の手順書」「製品の設定値」「取引先との契約書」といった実務レベルの文書よりも上位に位置する基本方針であり、社内の規程や手順書はこの方針に基づいて策定されます。
また、策定後も一度で終わりではなく、
・定期的な見直し
・全従業員への周知
・組織変更や法改正への対応
が求められる点がISMSの特徴です。
| ア. | 企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの |
| セキュリティ設定基準(技術標準)に関する記述です。 | |
| イ. | 個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの |
| 個人情報保護方針(プライバシーポリシー)の説明です。 | |
| ウ. | 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの |
| NDA(秘密保持契約)の説明です。 | |
| エ. | 情報セキュリティに対する組織の意図を示し,方向付けしたもの |
| 情報セキュリティ方針の説明です。 |