科目A問84
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
| 機密事項が記載されているので,伝達する範囲を社内に限定する必要がある。 | |
| 情報セキュリティ対策は一度実施したら終わりではないので,ISMSを継続的に改善するコミットメントを含める必要がある。 | |
| 部門の特性に応じて最適化するので,ISMSを適用する組織全体ではなく,部門ごとに定める必要がある。 | |
| ボトムアップを前提としているので,各職場の管理者によって承認される必要がある。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
JIS Q 27001において、情報セキュリティ方針は以下のように記述されています。
トップマネジメントは、以下を満たす組織の情報セキュリティ方針を確立する。
・組織の目的に対して適切であること。
・情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組
・情報セキュリティに関連して適用する要求事項を満たすことへのコミットメントを含むこと。
・情報セキュリティマネジメントの継続的改善へのコミットメントを含むこと。
トップマネジメントは、以下を満たす組織の情報セキュリティ方針を確立する。
・組織の目的に対して適切であること。
・情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組
・情報セキュリティに関連して適用する要求事項を満たすことへのコミットメントを含むこと。
・情報セキュリティマネジメントの継続的改善へのコミットメントを含むこと。