問題本文
情報セキュリティポリシに関する考え方のうち、適切なものはどれか。
選択肢
- ア.いかなる情報資産に対しても、実施する対策の費用は同一であることが望ましい。
- イ.情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は、経営者を始めとした幹部だけに開示すべきである。
- ウ.情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業者とすべきである。
- エ.情報セキュリティポリシを初めて作成する場合は、同業他社のポリシをサンプルとして、できるだけそのまま利用することが望ましい。
正解
ウ. 情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業者とすべきである。
解説
情報セキュリティポリシは「基本方針→対策基準→実施手順」の3層構成で、対策費用は資産価値・リスクに応じて差をつけるのが原則(重要資産には厚く、軽微資産には薄く).基本方針は積極的に社外公開する.作成時は自社の事業内容・組織特性・情報資産の特徴を考慮することが重要で、他社サンプルそのまま流用は不適切.適用対象は社員・パート・派遣・委託先まで全従業者を含める.「対象拡大」「方針公開」「自社特性反映」が原則.
選択肢ごとの解説
- ア.対策費用は資産の重要性・リスク評価に応じて差をつけるのが原則.全ての資産に同一費用は非効率(過剰投資or不足)で、リスクベース・アプローチに反するため不適切.
- イ.情報セキュリティ基本方針は社内外に対し積極的に公開すべきもの.取引先や顧客への信頼性アピールにもなり、幹部限定開示は方針の意義と矛盾するため不適切.
- ウ.正解.セキュリティポリシは社員だけでなくパート・アルバイト・派遣・委託先など全従業者を適用対象とすべき.漏れがあると守りに穴ができるため対象範囲は広く取る.
- エ.他社ポリシをそのまま流用するのは自社の事業内容・特性を反映できず不適切.参考にしつつも自社向けにカスタマイズして策定するのが正しいアプローチ.
ITパスポート 2010年 (平成22年 秋期) の過去問一覧へ戻る・問76