情報セキュリティスペシャリスト 平成21年春期 午前T 問14

午前T 問14

ISMS適合評価制度における情報セキュリティ基本方針に関する記述のうち,適切なものはどれか。
  • 重要な基本方針を定めた機密文書であり,社内の関係者以外の目に触れないようにする。
  • 情報セキュリティのための経営陣の方向性及び支持を規定する。
  • セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。
  • 特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。
  • [この問題の出題歴]
  • 応用情報技術者
    平成21年春期 問40と同題

分類

テクノロジ系 » セキュリティ » 情報セキュリティ管理

正解

解説

情報セキュリティ基本方針(情報セキュリティポリシ)は、組織の経営者(トップマネジメント)が最終的な責任者となり「組織が情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などの枠組みが包括的に規定されます。
策定した情報セキュリティ基本方針には、有効性・妥当性を維持するために定期的な改善をすること、及び、全ての従業員に対して周知させることが求められます。
  • 文書の要件として必要に応じて利害関係者が入手可能であることが求められます。
  • 正しい。ISMSの要求事項を定義したJIS Q 27001では、トップマネジメント(経営陣)の責任において情報セキュリティ基本方針を確立しなければならないことが明記されています。
  • 環境や状況の変化に適合するように、継続的に改訂することが求められます。
  • 特定のシステムだけでなく、ISMSの適用範囲のすべてのシステムに対してリスクアセスメントを行います。
ISMS認証基準には「ISMS基本方針」と「情報セキュリティ基本方針」という似たような2つの語句が定義されているようです。

ISMS基本方針」は、組織の情報セキュリティマネジメントに対する基本的な考え方を示すものです。組織が取組む他のマネジメントシステムやリスクマネジメントを鑑(かんが)み、情報セキュリティマネジメントがどのように位置づけられるのかを示すものです。特に、情報セキュリティに関する要求事項(事業上の、法令・規制による、契約上のセキュリティ要求事項など)に対する責任を果たすという意思表示の部位は重要となります。「ISMS基本方針」は、ISMSの適用範囲の大小に拠らず、組織全体の情報セキュリティに関する経営方針(ビジョン)や行動規範を示すことになります。
一方、ISMS基本方針を受けて、具体的にどんな体制で、どのように情報セキュリティを向上させるかの枠組みを定義づけるものが「情報セキュリティ基本方針」です。

2つの方針のうちISMS基本方針の方がより上位の概念で、情報セキュリティ基本方針はISMS基本方針に包含される関係になります。

参考URL: 認証基準の解釈(ISMS)
 http://www.isms.jipdec.or.jp/faq/faq3.html
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop