ITパスポート 2017年 (平成29年 秋期) 問68「全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のう…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約70%です。
正解
ウ. トップマネジメントが確立しなければならない。
正答率 70.2%(937人中 658人が正解)
問題の解説
ISMS(情報セキュリティマネジメントシステム)においてISO/IEC 27001が要求することとして,情報セキュリティ方針はトップマネジメント(経営の最高責任者層)が確立・承認・コミットすることが明示されている。全社適用なら全社方針を統一し,業種が同じでも組織固有の事業・リスク・資産に合わせて策定する。正解はウ。
選択肢ごとの解説
- 同じ業種でも組織ごとに,取り扱う情報資産の内容,顧客や取引先との関係,システムの規模,リスク許容度が異なるため,方針の記述内容が同一になることはない。業種が共通でも組織固有のコンテキストに応じた方針が必要。
- PCの設定ルールは情報セキュリティの具体的な管理策や手順の一部であり,全社の情報セキュリティ方針ではない。方針は組織の目標・コミットメント・方向性を示す上位文書であり,具体的な技術的ルールよりも高い抽象レベルで記述される。
- ISO/IEC 27001では,トップマネジメントが情報セキュリティ方針を確立し,組織全体に周知・徹底することを明示的に要求している。全社適用のISMSでは特に,経営レベルのコミットメントとして方針を示す必要がある。正解。
- 全社適用のISMSでは,部門ごとに独立した方針を個別最適化して策定するのではなく,全社共通の情報セキュリティ方針の下で各部門が管理策を実施する体制を取る。部門別の個別方針は全社方針に反しない範囲で補完的に定めることはある。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧に戻る・問68