問題
テクノロジ系
問84 ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア機密事項が記載されているので,伝達する範囲を社内に限定する必要がある。
- イ情報セキュリティ対策は一度実施したら終わりではないので,ISMSを継続的に改善するコミットメントを含める必要がある。
- ウ部門の特性に応じて最適化するので,ISMSを適用する組織全体ではなく,部門ごとに定める必要がある。
- エボトムアップを前提としているので,各職場の管理者によって承認される必要がある。
解説
正解:イ
概要
この問題は、ISMSにおける情報セキュリティ方針の特徴について理解しているかを問うものです。特にPDCAサイクルに基づいた継続的改善の考え方が重要なポイントです。
正解の理由
ISMSでは情報セキュリティ対策を一度実施して終わりにするのではなく、PDCAサイクルを用いて継続的に改善していくことが求められます。そのため、情報セキュリティ方針にはISMSを継続的に改善していくという組織のコミットメントを含める必要があるため、この記述が正解です。
各選択肢の解説
ア(×): 情報セキュリティ方針は機密事項として社内に限定するものではありません。むしろ組織の基本的な方針として社内外に公開されることも多く、必ずしも伝達範囲を社内だけに限定する必要はないため誤りです。
イ(〇): ISMSではPDCAサイクルに基づき、情報セキュリティ対策を継続的に改善していくことが重要です。そのため情報セキュリティ方針には、ISMSを継続的に改善するという組織のコミットメントを含める必要があり、この記述は正しいです。
ウ(×): ISMSは組織全体で情報セキュリティを管理する仕組みです。部門ごとに個別の方針を定めるのではなく、組織全体の方針として策定する必要があるため、この説明は誤りです。
エ(×): ISMSはトップマネジメントの関与が重要であり、ボトムアップではなく経営層の主導で策定・承認されることが求められます。各職場の管理者による承認を前提とするものではないため誤りです。
ポイント
ISMSではPDCAサイクルによる継続的改善が重要です。情報セキュリティ方針には、組織がISMSを継続的に改善していくという意思を明確に示す必要があります。