予想問題vol.3 問22
問22
情報セキュリティポリシーに関する考え方のうち,適切なものはどれか。
- いかなる情報資産に対しても,実施する対策の費用は同一であることが望ましい。
- 情報セキュリティポリシーの構成要素の最上位にある情報セキュリティ基本方針は,経営者を始めとした幹部だけに開示すべきである。
- 情報セキュリティポリシーの適用対象としては,社員だけでなく,パートなども含めた全従業員とすべきである。
- 情報セキュリティポリシーを初めて作成する場合は,同業他社のポリシーをサンプルとして,できるだけそのまま利用することが望ましい。
- [出典]
- ITパスポート H22秋期 問76
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
情報セキュリティポリシーとは、企業などの組織における情報資産の情報セキュリティ対策について具体的に取りまとめたもので、情報資産をそのような脅威からどのように守るのかという基本方針と、そのための体制や運用を規定します。
解説については、平成12年7月18日に情報セキュリティ対策推進会議で決定された"情報セキュリティポリシーに関するガイドライン"を参考にしました。
解説については、平成12年7月18日に情報セキュリティ対策推進会議で決定された"情報セキュリティポリシーに関するガイドライン"を参考にしました。
- リスクに対する対策では、リスク分析を実施した結果判明した、被害の大きさと発生頻度を踏まえて費用を振りわける必要があります。
- 「職員がポリシー及び実施手順(個別マニュアルとしてもよい)に記載されている内容を遵守して、情報セキュリティ対策を有効に機能させる義務があること、不明な点に関する助言の推奨等を定める」とあるので一般職員にもポリシーを公開し、方針や運用についての理解を促す必要があります。
- 正しい。ポリシーには方針だけでなく実施手順や運用についても規定することになっており、全職員に対して適用されます。
- 同業他社のポリシーを参考程度にすることは良いと思いますが、自社と他社では異なる部分については、自社の業務状況に合うような内容を独自に策定する必要があります。