問題
問96
情報セキュリティ方針に関する記述として、適切なものはどれか。
- 一度定めた内容は、運用が定着するまで変更してはならない。
- 企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す。
- 企業の情報資産を保護するための重要な事項を記載しているので、社外に非公開として厳重に管理する。
- 自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する。
[出典:ITパスポート試験 令和3年度 問96]
スポンサーリンク
正解
正解は「エ」です。
解説
情報セキュリティ方針とは、企業や組織が情報セキュリティの確保を目的として策定する基本的な方針です。この方針には、事業内容や組織の特性に応じた情報資産の保護対策が含まれており、組織ごとの状況に合わせて策定されます。
情報セキュリティ方針を策定する際には、自社の事業内容や扱う情報資産の性質を考慮し、適切なリスク管理を行うことが求められます。例えば、金融機関であれば顧客の個人情報や取引データを厳重に管理する必要がありますし、製造業では生産技術の機密情報を守ることが重要になります。
ア(一度定めた内容は、運用が定着するまで変更してはならない):
情報セキュリティ方針は、組織の状況や環境の変化に応じて適宜見直しを行う必要があるため、この記述は誤りです。
イ(企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す):
情報セキュリティ方針には具体的なリスク管理策が含まれるため、単なる理想像の記述では不十分です。
ウ(企業の情報資産を保護するための重要な事項を記載しているので、社外に非公開として厳重に管理する):
情報セキュリティ方針は社内向けの文書ですが、一般公開される場合もあり、社外非公開が必須ではありません。
したがって、正解は「エ(自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する)」です。
難易度
普通
情報セキュリティ方針の基本的な内容を理解していれば解答しやすいですが、社外非公開にすべきかどうかなどを誤解していると迷う可能性があります。
スポンサーリンク
用語補足
情報セキュリティ方針:
企業や組織が情報資産を守るために定める指針であり、リスク管理や適用範囲などが記載される。
リスク管理:
情報資産に関するリスクを識別し、適切な対策を講じることで被害を最小限に抑える取り組み。
対策
情報セキュリティ方針の役割を理解し、企業の事業内容や情報資産の性質に応じたリスク管理の重要性を認識することが重要です。特に、情報セキュリティ方針が企業ごとに異なる理由を学ぶことで、試験の選択肢を正しく判断できるようになります。
