応用情報技術者 2013年 秋期 午前2 問40
問題文
ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。
選択肢
ア:重要な基本方針を定めた機密文書であり、 社内の関係者以外の目に触れないようにする。
イ:情報セキュリティの基本方針を述べたものであり、 ビジネス環境や技術が変化しても変更してはならない。
ウ:情報セキュリティのための経営陣の方向性及び支持を規定する。(正解)
エ:特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述する。
ISMSにおける情報セキュリティ基本方針の適切な記述【午前2 解説】
要点まとめ
- 結論:情報セキュリティ基本方針は経営陣の方向性と支持を明確に示す文書であることが重要です。
- 根拠:ISMS(情報セキュリティマネジメントシステム)では、経営層のコミットメントが情報セキュリティの根幹を支えるため、基本方針は経営陣の意思を示すものと定義されています。
- 差がつくポイント:基本方針は機密文書ではなく、組織全体に周知されるべきものであり、環境変化に応じて見直しが必要な点を理解することが合格の鍵です。
正解の理由
選択肢ウは「情報セキュリティのための経営陣の方向性及び支持を規定する」とあり、ISMSの基本方針の本質を正確に表しています。基本方針は経営層のコミットメントを示し、組織全体の情報セキュリティ活動の指針となるため、経営陣の支持が不可欠です。
よくある誤解
基本方針は秘密にする文書ではなく、全社員に周知されるべきものです。また、環境変化に応じて適宜見直すことが求められ、固定的なものではありません。
解法ステップ
- ISMSの基本方針の役割を理解する(経営陣の意思表明であること)。
- 選択肢の内容が経営層のコミットメントを示しているか確認する。
- 機密扱いか、変更不可かなどの誤った特徴を含む選択肢を除外する。
- リスク分析やシステム運用の詳細は基本方針ではなく別文書であることを認識する。
- 最もISMSの基本方針の定義に合致する選択肢を選ぶ。
選択肢別の誤答解説
- ア:基本方針は機密文書ではなく、全社員に周知されるべきであり、社外秘扱いは誤りです。
- イ:基本方針は環境や技術の変化に応じて見直す必要があり、変更してはならないというのは誤解です。
- ウ:正解。経営陣の方向性と支持を示すことが基本方針の本質です。
- エ:リスク分析やシステム運用の詳細は基本方針ではなく、リスクアセスメントや運用手順書に記載されます。
補足コラム
ISMSの基本方針は、組織の情報セキュリティに対する経営層の姿勢を示す重要な文書です。これに基づき、具体的なリスク管理や対策が策定され、組織全体のセキュリティレベル向上に寄与します。基本方針は定期的にレビューし、組織の状況や外部環境の変化に対応させることが求められます。
FAQ
Q: 基本方針は誰に周知すべきですか?
A: 全社員および関係者に周知し、情報セキュリティ意識の統一を図る必要があります。
A: 全社員および関係者に周知し、情報セキュリティ意識の統一を図る必要があります。
Q: 基本方針は一度決めたら変更してはいけませんか?
A: いいえ。ビジネス環境や技術の変化に応じて定期的に見直し、必要に応じて改訂します。
A: いいえ。ビジネス環境や技術の変化に応じて定期的に見直し、必要に応じて改訂します。
関連キーワード: ISMS, 情報セキュリティ基本方針、経営陣のコミットメント、情報セキュリティマネジメント、リスク管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!