問題本文
ISMSの情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア.情報セキュリティ方針は,トップマネジメントが確立しなければならない。
- イ.情報セキュリティ方針は,社外に公表してはならない。
- ウ.一度制定した情報セキュリティ方針は変更できない。
- エ.個人情報や機密情報を扱わない従業者には,情報セキュリティ方針を周知しなくてもよい。
正解
ア. 情報セキュリティ方針は,トップマネジメントが確立しなければならない。
解説
ISMS(Information Security Management System)の情報セキュリティ方針に関する問題. 情報セキュリティ方針は組織の情報セキュリティに対する経営層の意思を表明する最上位文書で,JIS Q 27001(ISO/IEC 27001)ではトップマネジメント(経営層)が確立・承認する責任を持つ. 方針は社内外に公開して利害関係者の認識を共通化することが推奨される(開示が原則). また環境変化・脅威変化に応じて定期的に見直すべきで,一度決めたら変更不可ではない. 全従業員(個人情報や機密情報を扱わない者も含む)への周知が必要で,例外的に周知不要とすることはISMSの原則に反する. 「経営層主導+全社展開+継続改善」が情報セキュリティ方針の3本柱.
選択肢ごとの解説
- ア.正解. 情報セキュリティ方針は組織のセキュリティ姿勢を表明する最上位文書で,JIS Q 27001でもトップマネジメントが確立する責任を持つと規定されている. 経営層の意思と関与なしには実効性ある情報セキュリティ活動は不可能であり,経営層主導が本問の核心と合致する選択肢である.
- イ.誤り(逆). 情報セキュリティ方針は社外を含む利害関係者にも積極的に公開することが推奨される. 公開によって取引先・顧客等への信頼性が高まり,組織の責任ある姿勢を示すことができる. 「社外公表してはならない」は逆の方針で,ISMSの考え方に反する選択肢となる.
- ウ.誤り(逆). 情報セキュリティ方針は環境変化・脅威変化・組織変化に応じて定期的に見直し・改定すべき. PDCAサイクルでの継続的改善が前提であり,「一度制定したら変更できない」は固定的すぎてISMSの継続的改善原則に反する誤った記述. 改定可能性が前提である.
- エ.誤り. 情報セキュリティ方針は全従業員に周知すべきで,個人情報や機密情報を扱わない者にも例外を設けないのが原則. 全員が方針を理解することで組織全体のセキュリティ意識が高まる. 例外を認めると組織全体での情報保護が崩れるリスクがあり,周知範囲の限定は不適切.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問62