問94の正解: エテクノロジ系/セキュリティ
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
この設問が問うていること
組織における情報セキュリティ対策の最上位指針である「情報セキュリティ方針」の定義を問う設問です。
ア企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
選択肢アの解説: 具体的な製品の設定値を定めたものは、ポリシーの下位に位置する「技術基準」や「運用手順書」に該当します。
イ個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したもの
選択肢イの解説: 個人情報に特化した取扱手順を規定したものは、個別規程である「個人情報保護規程(プライバシーポリシー)」等に該当します。
ウ自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
選択肢ウの解説: 他社との合意文書は「セキュリティ覚書」や「契約書(NDA等)」であり、自社の方針を示す情報セキュリティ方針ではありません。
エ情報セキュリティに対する組織の意図を示し、方向付けしたもの正解
選択肢エの解説: 情報セキュリティに対する経営陣の意思・コミットメントおよび組織としての基本方針(方向付け)を示すものであり、適切です。
総合解説
情報セキュリティ方針(情報セキュリティポリシー)とは、組織(企業など)の経営陣が制定する最上位の基本文書で、組織が情報セキュリティにどのように取り組み、どのような方向性で保護活動を行うかという「意図と方向性」を示したものです。セキュリティ製品の設定値(a)は手順書や技術的対策、個人情報取扱手順(b)は個別規程、取引先との合意(c)は契約書(NDAやセキュリティ特約など)です。したがって、正解はdです。
AIAIにその場で質問(デモ応答)
こんな聞き方もできます(タップで質問)