問題本文
情報セキュリティマネジメントシステムを構築した企業において,情報セキュリティ方針を改訂したことを周知する範囲として,適切なものはどれか。
選択肢
- ア.機密情報を扱う部署の従業員
- イ.経営者
- ウ.全ての従業員及び関連する外部関係者
- エ.セキュリティ管理者
解説
情報セキュリティ方針(ポリシ)は,組織の情報セキュリティに対する基本的な考え方や目的,適用範囲などを示した最上位の文書である. ISMS(情報セキュリティマネジメントシステム)では,方針を策定し,組織内の関係者および関連する外部関係者にも周知することが求められる. 機密情報を扱う部署の従業員,経営者,セキュリティ管理者だけに限定するのは不十分で,組織全体および取引先・委託先など外部関係者にも周知し,共通の方針のもとで情報資産を保護することが重要となる. 全社員と外部関係者まで周知することが正解の決め手となる.
選択肢ごとの解説
- ア.誤り. 機密情報を扱う部署の従業員に限定して情報セキュリティ方針を周知するのでは,組織全体としての一貫した取組みが難しくなる. 情報セキュリティ方針は組織全体に適用される基本方針であり,全従業員と関連外部関係者まで周知すべきであるため,対象を一部部署に絞る本選択肢は適切な範囲とはいえない.
- イ.誤り. 経営者だけに方針改訂を周知するのも不十分である. 情報セキュリティ方針は組織全体に適用される最上位文書であり,現場の従業員や外部の業務委託先まで周知して初めて実効性を持つ. 経営者のみへの周知では現場での遵守徹底や外部関係者への適用が不十分となるため本選択肢は適切ではない.
- ウ.正しい. 情報セキュリティ方針は組織全体の基本方針であるため,全従業員はもちろん,業務委託先や取引先など関連する外部関係者にも周知する必要がある. ISMSの要求事項としても明確に示されており,本選択肢は周知範囲として最も適切で,本問の正解となる.
- エ.誤り. セキュリティ管理者だけに方針改訂を周知するのは,組織全体への適用や現場での実践,外部関係者との連携を確保する上で不十分である. 情報セキュリティ方針は全社員と関連外部関係者まで周知すべきものであるため,対象を管理者だけに限定する本選択肢は周知範囲として適切ではない.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問73