問題本文
情報セキュリティにおけるリスクマネジメントに関する記述のうち,最も適切なものはどれか。
選択肢
- ア.最終責任者は,現場の情報セキュリティ管理担当者の中から選ぶ。
- イ.組織の業務から切り離した単独の活動として行う。
- ウ.組織の全員が役割を分担して,組織全体で取り組む。
- エ.一つのマネジメントシステムの下で各部署に個別の基本方針を定め,各部署が独立して実施する。
正解
ウ. 組織の全員が役割を分担して,組織全体で取り組む。
解説
情報セキュリティリスクマネジメントは組織全体で取り組むものとされ,経営者を含む全員が役割を分担して組織的に実施する.経営者がトップマネジメントとして最終責任を負い,情報セキュリティ委員会・各部門責任者・現場担当者など階層的に役割を分担する.組織の業務と切り離さずビジネスプロセスに統合して実施するのが原則.基本方針は組織全体で統一して定め,部署ごとに独立した方針を持つのは整合性を欠き不適切.アは現場担当者が最終責任者という設定が経営責任の原則に反し誤り,イは業務切り離しが原則に反する,エは部署別独立方針が組織全体統一の原則に反する.以上から全員で取り組むウが正解.
選択肢ごとの解説
- ア.最終責任者を現場の情報セキュリティ管理担当者の中から選ぶというのは,情報セキュリティガバナンスの原則に反する.最終責任者は経営者(社長・役員等)であり,情報セキュリティは経営課題として位置付けられる.現場担当者は実務責任を担うが最終責任者ではないため,本選択肢は誤り.
- イ.組織の業務から切り離した単独活動として行うとするが,情報セキュリティリスクマネジメントは業務プロセスと一体化して継続的に実施するのが原則.業務から切り離せば現実の脅威・脆弱性に対応できず形骸化するため,業務と切り離す運用は明確に不適切で誤り.
- ウ.正解.組織の全員が役割を分担して組織全体で取り組むのが情報セキュリティリスクマネジメントの基本原則.経営者・情報セキュリティ委員会・部門責任者・現場担当者など階層的に役割を分担し,全員参加で実効性を確保する.JIS Q 27001等のISMS規格もこの考え方を前提としており設問と合致.
- エ.一つのマネジメントシステムの下で各部署に個別の基本方針を定め各部署が独立して実施するというのは,組織全体での整合性を欠くため不適切.基本方針は組織全体で統一して定めるのが原則で,部署ごとの実施手順は具体化できても基本方針レベルで独立した方針を持つのは管理矛盾を招き誤り.
ITパスポート 2013年 (平成25年 春期) の過去問一覧へ戻る・問71