問題本文
情報セキュリティポリシに関する記述のうち,適切なものはどれか。
選択肢
- ア.企業のセキュリティポリシは,会社法の規定に基づき,株主総会で承認を得なければならない。
- イ.企業のセキュリティポリシは,導入するシステムごとに定義する必要がある。
- ウ.セキュリティポリシ策定の要因となっている情報システムの脆弱性を対外的に公表しなければならない。
- エ.目標とするセキュリティレベルを達成するために,遵守すべき行為及び判断についての考え方を明確にすることが必要である。
正解
エ. 目標とするセキュリティレベルを達成するために,遵守すべき行為及び判断についての考え方を明確にすることが必要である。
解説
情報セキュリティポリシは組織が目指すセキュリティレベルを達成するために,遵守すべき行為や判断基準を明文化した文書である.「基本方針 (経営者の宣言) → 対策基準 (具体的ルール) → 実施手順 (詳細手順) 」の3階層構造で構成され,組織全体で統一的に定義する.株主総会の承認は法的要件ではなく,脆弱性の対外公表は攻撃を招くため不適切となる.覚え方や類似用語の区別を整理しておくと,本試験での失点を防ぐことができる重要
選択肢ごとの解説
- ア.セキュリティポリシは経営判断で策定するものであり,株主総会の承認は法的要件ではない.経営者の意思決定でトップダウンに作成・改訂するのが一般的で,株主総会承認は不要の文書.覚え方や類似用語の区別を整理しておくと,
- イ.セキュリティポリシは組織全体で統一的に定義する文書で,システムごとに別個に定義するものではない.全社共通のルールとして策定するのが基本で,個別システム別の文書ではない.覚え方や類似用語の区別を整理しておくと,本
- ウ.脆弱性の対外公表は攻撃を招く恐れがあり,セキュリティ上不適切な対応となる.脆弱性情報は限定された関係者間でのみ共有し,対外的には対策後に公表するのが原則.覚え方や類似用語の区別を整理しておくと,本試験での失点を
- エ.正解.目標とするセキュリティレベル達成のために,遵守すべき行為と判断の考え方を明確化することがセキュリティポリシの目的である.方針の明文化が本質で,組織のガイドラインとなる.覚え方や類似用語の区別を整理しておく
ITパスポート 2009年 (平成21年 秋期) の過去問一覧へ戻る・問56