サンプル問題1 問69
問69
企業の情報セキュリティポリシーの策定に関する記述のうち,適切なものはどれか。
- 業種ごとに共通であり,各企業で独自のものを策定する必要性は低い。
- システム管理者が策定し,システム管理者以外に知られないよう注意を払う。
- 情報セキュリティに対する企業の考え方や取組を明文化する。
- ファイアウォールの設定内容を決定し,文書化する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ウ
解説
情報セキュリティポリシーとは、企業などの組織が「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。 文書には情報資産の情報セキュリティ対策について具体的に取りまとめられ、情報資産をどのような脅威からどのように守るのかということや、それを実現するための体制や運用を規定します。
- 同業他社のポリシーを参考程度にすることは問題ありませんが、自社と他社では異なる部分が必ずあります。自社の業務状況に適合するように、また自社の方針に合うように独自に策定する必要があります。
- 作成したポリシーは社内外に公開し、広く周知することが望まれます。一般従業員やステークホルダなどにも公開するべきです。
- 正しい。情報セキュリティポリシーには、情報セキュリティに対する基本方針とそれを実施するための組織体制が記述されます。
- ファイアウォールの設定内容など具体的なセキュリティ施策は、セキュリティ規程に当たる情報セキュリティ実施基準に記述されます。