予想問題vol.6 問22
問22
情報セキュリティ基本方針文書の取り扱いについて,ISMS認証基準に定められているものはどれか。
- 一度決めた内容を変更せず,セキュリティ事故発生時に見直す。
- 機密情報であるので関連する管理者だけに内容を教育する。
- 経営陣によって承認され,全従業員に公表し通知する。
- 作成したメンバー自身で実施状況を点検する。
- [出典]
- ソフトウェア開発技術者 H18春期 問76
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
情報セキュリティ基本方針は、組織の情報セキュリティマネジメントに対する基本的な考え方を示した文書です。
それぞれの記述をJIS Q 27001の規格に照らすと次のようになります。
それぞれの記述をJIS Q 27001の規格に照らすと次のようになります。
- 内外の環境の変化を踏まえて定期的にレビューすることが要求されているため不適切です。
- 「組織は、ISMSに定義された責任を割り当てた要員すべてが、要求された職務を実施する力量をもつことを(教育・訓練などによって)確実にしなければならない」と定められているため不適切です。
- 正しい。ISMS認証基準では、経営陣の責任としてISMSの確立.導入,運用及び維持等に関与し、組織として情報セキュリティの実施責任を利害関係者に宣言(コミットメント)することを要求しています。
- 監査プロセスの客観性及び公平性を確実にするため「監査員は、自らの仕事を監査してはならない」と定められているため不適切です。