予想問題vol.2 問1
問1
ISMSに関する記述のうち,適切なものはどれか。
- ISMSのマネジメントサイクルは,セキュリティ事故が発生した時点で開始し,セキュリティ事故が収束した時点で終了する。
- ISMSの構築,運用は,組織全体ではなく,必ず部門ごとに行う。
- ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
- 情報セキュリティ方針は,具体的なセキュリティ対策が記述されたものである。
- [出典]
- ITパスポート H27秋期 問80
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
ISMS(Information Security Management System)は、情報セキュリティマネジメントシステムの管理・運用に関する仕組みでJIS Q 27001 (ISO/IEC 27001)の基となった規格です。
- ISMSのマネジメントサイクルでは、PDCAサイクルに基づき、セキュリティ事故の有無に関係なく継続的改善を行います。
- ISMSは組織全体、事業所単位、部門単位、事業やサービス単位で構築・運用することができます。
- 正しい。ISMSを構築・運用する組織は、リスクアセスメントで特定されたセキュリティリスクを防止又は軽減するために、適切なリスク対策を決めなければなりません。
- 情報セキュリティ方針は、組織の情報セキュリティに対する基本的な方針・考え方を明文化したものです。具体的な対策は、情報セキュリティ実施手順に記述されます。