ISMSに関する記述のうち、適切なものはどれか。
| ア | ISMSのマネジメントサイクルは、セキュリティ事故が発生した時点で開始し、セキュリティ事故が収束した時点で終了する。 |
| イ | ISMSの構築、運用は、組織全体ではなく、必ず部門ごとに行う。 |
| ウ | ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。 |
| エ | 情報セキュリティ方針は、具体的なセキュリティ対策が記述されたものである。 |
答え ウ
【解説】
| ア | ISMSのマネジメントサイクルは、セキュリティ事故が発生しないように開始し継続して実施します。 |
| イ | ISMSの構築、運用は、組織全体で行います。 |
| ウ | ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決めます。 |
| エ | 情報セキュリティ方針は、具体的なセキュリティ対策は記述されたものではなく、目指すべき方向性を記述します。 |
【キーワード】
・ISMS
- ISMS(Information Security Management System、情報セキュリティマネジメントシステム)
情報に関するセキュリティを管理するための仕組で国際的にはISO化され、日本でもJISで規定されています。
ISMSでは、どういった情報資産があるかを洗い出し、その情報資産についてのリスク分析を行い、リスク対策をし、セキュリティを高めます。
ISMSでは、情報資産の洗い出しから始まって、リスク分析、対策の検討実施、効果の確認、見直しをPDCA(plan-do-check-act)サイクルを回しながら行っていきます。
もっと、「ISMS」について調べてみよう。
戻る
一覧へ
次へ