問題本文
情報セキュリティ基本方針の説明として,適切なものはどれか。
選択肢
- ア.一度決められた情報セキュリティ基本方針は,ビジネス環境や技術が変化しても変更すべきでない。
- イ.情報セキュリティに関する組織の取組み姿勢を示したものであり,組織のトップによって承認され,公表される。
- ウ.セキュリティビジネスを拡大するための重点的な取組みについて,株主や一般に広く公開されるものである。
- エ.組織のセキュリティの考え方に基づいて,具体的なセキュリティ施策について述べたものである。
正解
イ. 情報セキュリティに関する組織の取組み姿勢を示したものであり,組織のトップによって承認され,公表される。
解説
情報セキュリティ基本方針(セキュリティポリシ)は,組織のセキュリティに対する基本姿勢を示した文書である.組織のトップ(経営者)が承認し,組織内外に公表することで,セキュリティ取組み方針を明確にする.環境変化に応じた見直しが必要で,固定的なものではない.基本方針→対策基準→実施手順という三層構造が一般的で,具体的施策は対策基準・実施手順で述べる.基本方針は理念・原則レベルの宣言となる.
選択肢ごとの解説
- ア.誤り.ビジネス環境や技術が変化すれば,情報セキュリティ基本方針も見直し・改定が必要.固定的なものではない.
- イ.正解.組織の取組み姿勢を示し,トップが承認・公表するのが情報セキュリティ基本方針.三層構造の最上位.
- ウ.誤り.セキュリティビジネスの拡大方針ではない.組織自身の情報資産保護のための内向きの方針.
- エ.誤り.具体的なセキュリティ施策は対策基準や実施手順で述べる.基本方針は理念・原則レベルの宣言.
ITパスポート 2011年 (平成23年 秋期) の過去問一覧へ戻る・問83