問題本文
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
選択肢
- ア.同じ業種であれば記述内容は同じである。
- イ.全社共通のPCの設定ルールを定めたものである。
- ウ.トップマネジメントが確立しなければならない。
- エ.部門ごとに最適化された情報セキュリティ方針を,個別に策定する。
正解
ウ. トップマネジメントが確立しなければならない。
解説
ISMS(情報セキュリティマネジメントシステム)においてISO/IEC 27001が要求することとして,情報セキュリティ方針はトップマネジメント(経営の最高責任者層)が確立・承認・コミットすることが明示されている。全社適用なら全社方針を統一し,業種が同じでも組織固有の事業・リスク・資産に合わせて策定する。正解はウ。
選択肢ごとの解説
- ア.同じ業種でも組織ごとに,取り扱う情報資産の内容,顧客や取引先との関係,システムの規模,リスク許容度が異なるため,方針の記述内容が同一になることはない。業種が共通でも組織固有のコンテキストに応じた方針が必要。
- イ.PCの設定ルールは情報セキュリティの具体的な管理策や手順の一部であり,全社の情報セキュリティ方針ではない。方針は組織の目標・コミットメント・方向性を示す上位文書であり,具体的な技術的ルールよりも高い抽象レベルで記述される。
- ウ.ISO/IEC 27001では,トップマネジメントが情報セキュリティ方針を確立し,組織全体に周知・徹底することを明示的に要求している。全社適用のISMSでは特に,経営レベルのコミットメントとして方針を示す必要がある。正解。
- エ.全社適用のISMSでは,部門ごとに独立した方針を個別最適化して策定するのではなく,全社共通の情報セキュリティ方針の下で各部門が管理策を実施する体制を取る。部門別の個別方針は全社方針に反しない範囲で補完的に定めることはある。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧へ戻る・問68