平成23年特別試験問題 問63

情報セキュリティの基本方針に関する記述のうち,適切なものはどれか。

  • 機密情報の漏えいを防ぐために,経営上の機密事項とする。
  • 情報セキュリティに対する組織の取組みを示すもので,経営層が承認する。
  • 情報セキュリティの対策基準に基づいて策定する。
  • パスワードの管理方法や文書の保存方法を具体的に規定する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティの基本方針(ポリシー)には、明確な基準となる構成や定義があるわけではありませんが、情報処理技術者試験では、IPA「情報処理推進機構」が公開している「情報セキュリティポリシーの策定」に基づいて出題されています。

この中で情報セキュリティポリシーは、基本方針(ポリシー),対策基準(スタンダード),実施手順(プロシージャー)の3階層の文書構成をとるのが一般的であるとされています。
63.png
以下の説明はIPAのサイトに掲載されている内容を引用したものです。
基本方針
組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。
対策基準
基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述します。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当します。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にします。
実施手順
対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアル的な位置づけの文書であり、詳細な手順を記述します。
  • 情報セキュリティマネジメントの国際規格であるISMSの管理策では「情報セキュリティ基本方針は、全従業員及び外部関係者に公表し、通知すること」としています。
  • 正しい。基本方針や対策基準には、経営者レベルが関与し、全社的な組織であるセキュリティ委員会などで策定、承認・見直しが行われます。
  • 実施手順についての説明です。
  • 実施手順についての説明です。

Pagetop