あなたが所属する会社において,情報セキュリティ・ポリシーを策定することになった。そこで,情報セキュリティ・ポリシーに関する国際規格であるISO/IEC27001(JISQ27001)を基に,情報セキュリティ・ポリシーの基本方針を策定することになった。この規格では,作ったポリシーの宣言や基本方針の承認を「誰が」すべきと規定されているか。以下の選択肢から,正しいものを一つ選びなさい。
[選択肢]
a. 情報システム部門
b. 顧客
c. 経営者
d. 監査人
e. 株主
[解説]
問15の正解は,選択肢cの「経営者」です。
情報セキュリティ・ポリシーに関する国際規格であるISO/IEC27001(JIS Q 27001)において,セキュリティ・ポリシーの宣言,基本方針の承認を行うのは「経営者」と定められています。 そのため,該当する回答は選択肢cの「経営者」であり,それ以外の回答は間違いです。
情報セキュリティ・ポリシーにおいて基本方針(基本ポリシー)は,情報セキュリティに対する原則的な考え方を示したものです。そして,この基本方針に基づいて,より具体的なポリシー(対策基準や対策手順)を定めていくことになります。
セキュリティ・ポリシーの基本方針は,その企業の経営理念を受けて作られます。そのため,社長をはじめとする経営者が基本方針を承認している必要があります。また,経営者のトップである社長の名前で実行を宣言してはじめて,その会社全体でセキュリティ・ポリシーをマネジメントしていく体制が整います。
なお,ISO/IEC27001の前身となったISO/IEC17799を参考に作られた経済産業省の「情報セキュリティ管理基準」にも同様の事項が定められています。
(参考リンク)経済産業省の「情報セキュリティ管理基準」
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex01.pdf
