問題
テクノロジ系
問94 ISMS における情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
- イ個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
- ウ自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの
- エ情報セキュリティに対する組織の意図を示し,方向付けしたもの
解説
正解:エ
概要
この問題は、ISMSにおける情報セキュリティ方針の役割と位置付けについて理解しているかを問うものです。
正解の理由
ISMSにおける情報セキュリティ方針とは、組織が情報セキュリティにどのように取り組むのかという基本的な考え方や方向性を示す最上位の文書です。具体的な手順や設定値ではなく、組織全体の意図や方針を明確にするものです。したがってエが正解です。
各選択肢の解説
ア(×): セキュリティ製品の設定値を定めたものは、運用手順書や設定基準に当たります。情報セキュリティ方針は個別製品の設定を定めるものではないため誤りです。
イ(×): 個人情報取扱い手順を規定したものは、部門ごとの具体的な運用規程です。情報セキュリティ方針は組織全体に対する基本的な考え方を示すものであり、特定部門だけを対象とするものではないため誤りです。
ウ(×): 取引先との間で情報資産の範囲や保護方法を合意したものは、契約や覚書に該当します。情報セキュリティ方針は自社の内部方針を示す文書であり、両社間の合意事項ではないため誤りです。
エ(〇): 情報セキュリティに対する組織の意図や方向性を示したものが情報セキュリティ方針です。ISMSの最上位文書として全体を統括する役割を持つため正しい記述です。
ポイント
情報セキュリティ方針は具体的な手順ではなく、組織の基本方針や方向性を示す最上位の文書であることを押さえておきましょう。