5-3 情報セキュリティマネジメント
令和6年度公開問題 問94
企業において情報セキュリティポリシー策定で行う作業のうち,次の作業の実施順序として,適切なものはどれか。
- a 策定する責任者や担当者を決定する。
- b 情報セキュリティ対策の基本方針を策定する。
- c 保有する情報資産を洗い出し,分類する。
- d リスクを分析する。
- ア a → b → c → d
- イ a → b → d → c
- ウ b → a → c → d
- エ b → a → d → c
解答 ア
【頭の準備体操】
情報セキュリティポリシは,組織における情報セキュリティ対策の方針や行動指針。
- 1. 策定する責任者や担当者を決定する。(a)
- 2. 情報セキュリティ対策の基本方針を策定する。(b)
- 3. 保有する情報資産を洗い出し,分類する。(c)
- 4. リスクを分析する。(d)
令和4年度公開問題 問85
情報セキュリティポリシを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
- ア 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- イ 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- ウ 対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
- エ 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
解答 ア
【頭の準備体操】
情報セキュリティポリシは,組織における情報セキュリティ対策の方針や行動指針。
基本方針は,なぜ対策をするのか(Why)。
対策基準は,何を対策するのか(What)。
実施手順は,どのように対策をするのか(How)。
- ア 正解
- イ 実施手順は,対策基準を具体的に実行するための手順。
- ウ 対策基準は,情報セキュリテポリシを実行するための基準。
- エ 実施手順は,対策基準を具体的に実行するための手順。
令和5年度公開問題 問94
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
- ア 企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
- イ 個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
- ウ 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について, 両社間で合意したもの
- エ 情報セキュリティに対する組織の意図を示し,方向付けしたもの
解答 エ
【頭の準備体操】
情報セキュリティポリシは,組織における情報セキュリティ対策の方針や行動指針。
基本方針は,なぜ対策をするのか(Why)。
対策基準は,何を対策するのか(What)。
実施手順は,どのように対策をするのか(How)。
- ア セキュリティ設定のチェックリスト
- イ 個人情報保護方針(プライバシーポリシ)
- ウ 秘密保持契約(NDA:Non-disclosure Agreement)
- エ 正解
令和3年度公開問題 問96
情報セキュリティ方針に関する記述として,適切なものはどれか。
- ア 一度定めた内容は,運用が定着するまで変更してはいけない。
- イ 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
- ウ 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
- エ 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
解答 エ
【頭の準備体操】
情報セキュリティポリシは,組織における情報セキュリティ対策の方針や行動指針。
基本方針は,なぜ対策をするのか(Why)。
対策基準は,何を対策するのか(What)。
実施手順は,どのように対策をするのか(How)。
- ア 情報セキュリティポリシの実施には,PDCAサイクルが効果的である。
- イ 企業が目指す情報セキュリティの理想像を記載するものではない。
- ウ 情報セキュリティ方針(基本方針)は公開される場合が多い。
- エ 正解