問題本文
組織で策定する情報セキュリティポリシに関する記述のうち,最も適切なものはどれか。
選択肢
- ア.情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
- イ.情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順も社外に公開することが求められている。
- ウ.情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが,最上位の情報セキュリティ基本方針は業界標準の雛形をそのまま採用することが求められている。
- エ.組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
正解
エ. 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
解説
情報セキュリティポリシは,組織全体で統一すべき情報セキュリティ基本方針(最上位)と,それを実現する対策基準・実施手順から構成される. 基本方針は経営者が承認し組織全体で統一するのが原則で,部門ごとに異なる対策・手順があっても基本方針自体は一本化する. 規則・手順の策定までを経営者だけが行う必要はなく(現場部門の関与が一般的),社外公開は基本方針までで規則・手順までは公開しないのが通例. 基本方針を業界標準の雛形そのままで採用するのも組織実態に合わず適切でない. 「基本方針=全社統一」を中心に整理する.
選択肢ごとの解説
- ア.誤り. 情報セキュリティ基本方針は経営者が承認するが,規則や手順までも経営者自身が策定するわけではない. 現場担当部門や情報セキュリティ責任者・管理者が実施手順を整備し,経営者が承認する形が一般的である. 「経営者が全て策定」は実態にも合わず,組織運営上も非現実的なため不適切となる.
- イ.誤り. 情報セキュリティ基本方針は社外に公開して組織の姿勢を示すことが一般的だが,規則や手順は対策の詳細を含むため社外公開しないのが通例である. 公開すると攻撃者にヒントを与えるリスクもあるため,規則・手順までの公開を求めるという記述は適切ではない.
- ウ.誤り. 情報セキュリティ基本方針は組織の実態・事業内容・リスク認識を反映して策定すべきもので,業界標準の雛形をそのまま採用するのは適切ではない. 雛形を参考にしつつ,自組織の固有事情を踏まえてカスタマイズするのが現実的かつ実効的である. そのまま採用は実態に合わない.
- エ.正解. 組織内の複数部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである. 基本方針は経営者が承認する最上位文書であり,組織全体で一貫した姿勢を示すことが情報セキュリティガバナンスの根幹となる. 対策の差は許容しつつ方針は一本化.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問61