予想問題vol.7 問38

問38

ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち,適切なものはどれか。
  • 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。
  • 情報セキュリティの基本方針を述べたものであり,ビジネス環境や技術が変化しても変更してはならない。
  • 情報セキュリティのための経営陣の方向性及び支持を規定する。
  • 特定のシステムについてリスク分析を行い,そのセキュリティ対策とシステム運用の詳細を記述する。
  • [出典]
  • 応用情報技術者 H25秋期 問40

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

  • 企業内のすべての人に広く知られることによって意識の向上が期待できます。
  • 環境や状況の変化に適合するように、常に改訂することが求められます。
  • 正しい。
  • 特定のシステムだけでなく、ISMSの適用範囲のすべてのシステムに対してリスクアセスメントを行います。
ISMS認証基準には「ISMS基本方針」と「ISMS情報基本方針」という似たような2つの語句が定義されているようです。

「ISMS基本方針」は、組織の情報セキュリティマネジメントに対する基本的な考え方を示すものです。組織が取組む他のマネジメントシステムやリスクマネジメントを鑑(かんが)み、情報セキュリティマネジメントがどのように位置づけられるのかを示すものです。特に、情報セキュリティに関する要求事項(事業上の、法令・規制による、契約上のセキュリティ要求事項など)に対する責任を果たすという意思表示の部位は重要となります。「ISMS基本方針」は、ISMSの適用範囲の大小に拠らず、組織全体の情報セキュリティに関する経営方針(ビジョン)や行動規範を示すことになります。 一方、ISMS基本方針を受けて、具体的にどんな体制でどのように、情報セキュリティを向上させるかを定義づけるものが「情報セキュリティ基本方針」です。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop