問題
問54 企業の情報セキュリティポリシの策定及び運用に関する記述のうち,適切なものはどれか。
ア 各セキュリティ対策ソフトウェアに設定すべき内容の定義を明確にしなければならない。
イ 経営トップは情報セキュリティポリシに対する会社の考え方や取組み方について,社員への説明を率先して推進しなければならない。
ウ 情報セキュリティポリシの策定においては最初に,遵守すべき行為及び判断の基準を策定しなければならない。
エ 目標とするセキュリティレベルを達成するために,導入する製品を決定しなければならない。
テクノロジ系>技術要素>セキュリティ>情報セキュリティ管理
解説と解答
情報セキュリティポリシーは,目標とするセキュリティレベルを達成するために,情報セキュリティに対する企業の考え方や取組み方を明文化したものです。そのため,情報セキュリティポリシーを策定する作業は,企業の経営トップ(代表取締役など)が中心となって行う必要があります。また,情報セキュリティポリシーの運用にあたっては,情報セキュリティの内容をすべての社員に周知徹底することも重要になります。それぞれの選択肢を見てみましょう。
情報セキュリティポリシーは情報セキュリティに対する基本方針を明示したものであり,各セキュリティ対策ソフトウエアに設定すべき内容といった具体的な項目は含まれません。よって選択肢アは誤りです。
選択肢イは適切な記述です。経営トップは,策定した情報セキュリティが周知徹底されるよう,社員に対する説明活動を率先して推進する必要があります。
情報セキュリティポリシーの策定においては,最初に,会社の考え方や取り組み方を規定した基本方針(情報セキュリティ基本方針)を策定します。次に,遵守すべき行為や判断の基準といった,より具体的な内容を規定した対策基準(情報セキュリティ対策基準)を策定します。よって選択肢ウは誤りです。
目標とするセキュリティレベルは,情報セキュリティポリシーを策定することによって明らかになります。そのため,導入するセキュリティ製品やシステム構成については,情報セキュリティポリシーを策定した後で決定します。よって選択肢エは誤りです。
以上より正解は,選択肢イです。
小倉 美香(おぐら みか)
アプリケーションデザイナー 代表取締役
アプリケーションデザイナー 代表取締役
情報サービス会社の勤務を経て,1998年より現職。保持する資格は,プロジェクトマネージャ,テクニカルエンジニア(ネットワーク),同(情報セキュリティ),基本情報技術者など多数。著書に「短期完全マスター ITパスポート 2009年版」などがある。
