情報セキュリティポリシに関する記述のうち、適切なものはどれか。
ア | 企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を得なければならない。 |
イ | 企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。 |
ウ | セキュリティポリシ策定の要因となっている情報システムの脆弱性を対外的に公表しなければならない。 |
エ | 目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。 |
情報セキュリティポリシとは、企業などの組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたものである。
ア | × | 企業のセキュリティポリシは、会社法の規定には存在しない。したがって、株主総会で承認を得る必要はない。 |
イ | × | 企業のセキュリティポリシは、企業全体で定義するものである。したがって、導入するシステムごとに定義する必要はない。 |
ウ | × | セキュリティポリシ策定の要因となっている情報システムの脆弱性を対外的に公表する必要はない。脆弱性を公表することで、不正アクセスや脆弱性を突いた攻撃を受けることになる。 |
エ | ○ | 目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。 |