問題14
ISMS適合性評価制度における情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。
| ア | 重要な基本方針を定めた機密文章であり、社内の関係者以外の目に触れないようにする。 |
| イ | 情報セキュリティのための経営陣の方向性及び支持を規程する。 |
| ウ | セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。 |
| エ | 特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。 |
解答・解説を見る
解答:イ
情報セキュリティポリシは、基本方針,対策基準,実施手順の3つの階層で構成される。
- 基本方針
- 組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものである。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にする。また、業界標準、該当する法令、政府規制への準拠を宣言する場合がある。
- 対策基準
- 基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述する。組織的に情報セキュリティ対策を行うための ルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当する。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確 にする。
- 実施手順
- 対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述する。マニュアル的な位置づけの文書であり、詳細な手順を記述する。
| ア | × | 情報セキュリティ基本方針は、機密文章ではない。また全社員に周知するべきものである。 |
| イ | ○ | 情報セキュリティ基本方針は、経営陣の方針として全社員に周知するべきものである。 |
| ウ | × | 情報セキュリティ基本方針は、ビジネス環境や技術の変化に応じて変更しなければならない。 |
| エ | × | 情報セキュリティ基本方針は、組織の業務全般に対する規範であり、特定のシステムを対象としたものではない。 |