情報セキュリティ管理 (全44問中35問目)
No.35
ISMS適合性評価制度における情報セキュリティポリシーに関する記述のうち,適切なものはどれか。
出典:平成19年秋期 問76
- 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。
- 情報セキュリティの方針は,事業,組織,所在地,資産及び技術の特徴を考慮して策定する。
- セキュリティの基本方針を述べたものであり,ビジネスの環境や技術が変化しても変更してはならない。
- 特定のシステムについてリスク分析を行い,そのセキュリティ対策とシステム運用の詳細を記述したものである。
- [出題歴]
- ソフトウェア開発技術者 H17秋期 問77
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
情報セキュリティポリシーは、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などの枠組みが包括的に規定されます。
策定した情報セキュリティポリシーには、有効性・妥当性を維持するために定期的な改善をすること、及び、全ての従業員に対して周知させることが求められます。
策定した情報セキュリティポリシーには、有効性・妥当性を維持するために定期的な改善をすること、及び、全ての従業員に対して周知させることが求められます。
- 文書の要件として必要に応じて利害関係者が入手可能であることが求められます。
- 正しい。
- 環境や状況の変化に適合するように、常に改訂することが求められます。
- 特定のシステムだけでなく、ISMSの適用範囲のすべてのシステムに対してリスクアセスメントを行います。