HOME»ITパスポート令和7年»問84
ITパスポート令和7年 問84
問84
- 機密事項が記載されているので,伝達する範囲を社内に限定する必要がある。
- 情報セキュリティ対策は一度実施したら終わりではないので,ISMSを継続的に改善するコミットメントを含める必要がある。
- 部門の特性に応じて最適化するので,ISMSを適用する組織全体ではなく,部門ごとに定める必要がある。
- ボトムアップを前提としているので,各職場の管理者によって承認される必要がある。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
情報セキュリティ方針は、組織が『情報セキュリティに対してどのように取り組むか』という基本的な考え方・方針を明文化したものです。目的、対象範囲、組織体制、罰則などが含まれます。
JIQ Q 27001によれば、情報セキュリティ方針が満たすべき事項は次の7つです。
JIQ Q 27001によれば、情報セキュリティ方針が満たすべき事項は次の7つです。
- 組織の目的に対して適切である
- 情報セキュリティ目的を含むか、又は情報セキュリティ目的の設定のための枠組みを示す
- 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む
- ISMSの継続的改善へのコミットメントを含む
- 文書化した情報として利用可能である
- 組織内に伝達する
- 必要に応じて、利害関係者が入手可能である
- 情報セキュリティ方針は、組織がセキュリティへの基本的な取り組み姿勢を示すものであり、社内外に広く伝達されることを前提とします。機密事項は記載されません。
- 正しい。情報セキュリティ方針には、ISMSの継続的改善へのコミットメントを含める必要があります。
- ISMSは組織が定めた適用範囲ごとに構築されます。ISMSの対象を組織全体とするのであれば、情報セキュリティ方針もその対象となる組織全体で共通の内容を定める必要があります。
- ISMSの構築と運用はトップダウンが基本であり、情報セキュリティ方針を確立し、承認することはトップマネジメントの責務です。