問14 ISMSにおいて定義することが求められている情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。
ア 重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。
イ 情報セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。
ウ 情報セキュリティのための経営陣の方向性及び支持を規定する。
エ 特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述する。
解説
ア 不正解
情報セキュリティ基本方針は、以下のリンクのように広く公開することもできるので不正解です。
- 情報セキュリティ基本方針 - Cisco Systems
- 情報セキュリティポリシー | ソフトバンク・テクノロジー
イ 不正解
常識的に考えて「ビジネス環境や技術が変化しても変更してはならない」はおかしいので不正解です。
ウ 正解
適切な記述です。
エ 不正解
情報セキュリティ基本方針ではなく、実際のリスク分析や実施手順についての記述です。また、「特定のシステム」ではなくISMSの適用範囲のシステム、施設、事業について実施します。
最終更新:2014年02月26日 00:53