ISMS適合性評価制度における情報セキュリティポリシーに関する記述のうち、適切なものはどれか。
ア | 重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。 |
イ | 情報セキュリティの方針は、事業、組織、所在地、資産及び技術の特徴を考慮して策定する。 |
ウ | セキュリティの基本方針を述べたものであり、ビジネスの環境や技術が変化しても変更してはならない。 |
エ | 特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。 |
答え イ
【解説】
ア | 情報セキュリティポリシーは、その組織における情報セキュリティについての規約なので、組織に所属する全員に配布し、内容を理解してもらい、規約を守ってもらう必要があります。 |
イ | 情報セキュリティポリシーは、事業内容や保有する情報(資産)やセキュリティ技術、組織形態などを考慮して策定する必要があります。 |
ウ | 情報セキュリティポリシーは、事業内容やセキュリティ技術の変化に追随して、適宜変更を行う必要があります。 |
エ | 情報セキュリティポリシーは、特定のシステムについてのセキュリティではなく、組織全体の情報セキュリティの基本方針です。 |
【キーワード】
・ISMS