問題
テクノロジ系
問96 情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア一度定めた内容は,運用が定着するまで変更してはいけない。
- イ企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
- ウ企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
- エ自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
解説
正解:エ
概要
情報セキュリティ方針は、組織が情報資産を守るための基本方針や取り組みの方向性を定めるものです。
方針を策定・運用する際に適切な考え方を問う問題です。
正解の理由
情報セキュリティ方針は、組織の事業や体制、扱う情報資産の性質に応じて内容を定める必要があります。
画一的に作るものではなく、自社の状況に合うように策定する点が重要です。
各選択肢の解説
ア(×): 情報セキュリティ方針は状況変化や見直し結果に応じて更新するものであり、運用が定着するまで変更禁止とする考え方は不適切です。
イ(×): 方針は理想像だけを掲げるものではなく、守るべき基本方針や責任、遵守事項などの指針として定めるため、この表現は適切とはいえません。
ウ(×): 情報セキュリティ方針は組織内への周知が必須で、対外的に公開する場合もあります。必ず社外非公開として厳重管理するとは限りません。
エ(〇): 事業内容や組織の特性、情報資産の特徴などを踏まえて、自社に合った情報セキュリティ方針を策定するのが適切です。
ポイント
情報セキュリティ方針は自社の実態に合わせて定め、必要に応じて見直します。
社内周知が重要で、社外公開は方針や目的により判断されます。