問題
問94
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
- 企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
- 個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したもの
- 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
- 情報セキュリティに対する組織の意図を示し、方向付けしたもの
[出典:ITパスポート試験 令和5年度 問94]
スポンサーリンク
正解
正解は「エ」です。
解説
情報セキュリティ方針とは、組織が情報セキュリティをどのように確保するかの基本方針を示すものです。具体的には、組織の情報セキュリティへの取り組み姿勢や方向性を明確にし、従業員や関係者に共有するためのものです。したがって、「情報セキュリティに対する組織の意図を示し、方向付けしたもの」が正しい記述となります。
ア(企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの):
これはセキュリティポリシーではなく、具体的なセキュリティ設定に関するガイドラインやマニュアルの説明に近いです。
イ(個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したもの):
これは「個人情報保護方針」や「個人情報管理規程」の範疇であり、ISMSの情報セキュリティ方針とは異なります。
ウ(自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの):
これは「情報資産の保護に関する契約」や「機密保持契約(NDA)」の内容に該当し、情報セキュリティ方針ではありません。
難易度
普通
ISMSを学んでいれば比較的簡単に判断できる問題ですが、情報セキュリティ方針と他の管理規程との違いを理解していないと迷う可能性があります。
スポンサーリンク
用語補足
ISMS(情報セキュリティマネジメントシステム):
組織が情報セキュリティを管理するための仕組みで、リスク管理の枠組みを提供します。ISO/IEC 27001に基づく国際標準が一般的に使用されます。
情報セキュリティ方針:
組織が情報セキュリティを確保するための基本方針を示すもので、従業員や関係者に対して組織の情報セキュリティの取り組みを明確にする目的があります。
対策
- ISMSの基本概念や、情報セキュリティ方針の目的を理解しておくことが重要です。
- 情報セキュリティ関連の規則(情報セキュリティ方針、個人情報保護方針、機密保持契約など)の違いを整理して覚えましょう。
