ITパスポート過去問 令和3年度(2021年)問96
情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア:一度定めた内容は,運用が定着するまで変更してはいけない。
- イ:企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。
- ウ:企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。
- エ:自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティ方針は、自社の事業内容、組織の特性、保有する情報資産の特徴を考慮して策定します。また、脅威や法令、事業環境の変化に応じて見直すことが前提です。従業員などが守る基準となるため、組織内で周知することが求められ、対外的に公開する運用もあります。
Point
この問題は、情報セキュリティ方針の位置付けと、策定時に何を基準に内容を決めるかを確認するものです。特に、方針は自社の実情に合わせて策定すること、策定後も状況に応じて見直すことを理解しているかが問われます。
解くために必要な知識
この問題を解くには、情報セキュリティ方針の目的と、策定時に考慮すべき事項を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| 情報セキュリティ方針 | 組織が情報セキュリティを確保するための基本的な考え方や取り組み方針を、経営者の意思として明文化したものです。 |
| 情報資産 | 組織が保有し、保護すべき価値がある情報の総称です。例として、顧客情報、営業秘密、設計資料などがあります。 |
情報セキュリティ方針で押さえるポイント
-
自社の実情に合わせることが原則です。
-
策定後も、必要に応じて見直すことが重要です。
「公開・非公開」の扱いの考え方
情報セキュリティ方針は、社内向けに周知することが前提です。また、社外向けに公開する方針を定める組織もあります。一方で、具体的な対策内容や手順まで含めた文書は、非公開として管理する運用もあります。
問題の解法手順
各選択肢の整理
| 選択肢 | 述べていること | 知識での照合 | 判定 |
|---|---|---|---|
| ア | 定めた方針は変更不可 | 方針は定期的に見直すことが前提です | 不適切 |
| イ | 理想像と活動促進を記載 | 方針は目的・方向性・原則を示しますが、「理想像の記載」が必須とは限りません | 不適切 |
| ウ | 重要事項なので社外秘 | 方針は周知が必要で、対外公開する運用もあります | 不適切 |
| エ | 自社の事業・組織・情報資産に合わせて策定 | 組織に適合させて策定することが原則です | 適切 |
選択肢ごとの解説
- ア:不正解
情報セキュリティ方針は、法令、事業環境、脅威、事故の発生状況などに応じて見直すことが前提です。「運用が定着するまで変更してはいけない」と固定化する記述は不適切です。
- イ:不正解
情報セキュリティ方針は、理想像だけを示すものではなく、組織としての基本方針や、取り組みの方向性を定めるものです。
- ウ:不正解
情報セキュリティ方針は社員に周知することが必要です。また、取引先などに姿勢を示すために公開する場合もあります。必ず社外非公開と決まっているわけではありません。
- エ:正解
情報セキュリティ方針は、自社の事業内容、組織の特性、保有する情報資産の特徴を踏まえて策定します。組織ごとに守る対象やリスクが異なるためです。
まとめ
情報セキュリティ方針は、自社の事業内容、組織の特性、保有する情報資産の特徴を考慮して策定します。また、脅威や法令、事業環境の変化に応じて見直すことが前提です。従業員などが守る基準となるため、組織内で周知することが求められ、対外的に公開する運用もあります。
テクノロジ系 > 技術要素 > セキュリティ
情報セキュリティ方針は、法令、事業環境、脅威、事故の発生状況などに応じて見直すことが前提です。「運用が定着するまで変更してはいけない」と固定化する記述は不適切です。
情報セキュリティ方針は、理想像だけを示すものではなく、組織としての基本方針や、取り組みの方向性を定めるものです。
情報セキュリティ方針は社員に周知することが必要です。また、取引先などに姿勢を示すために公開する場合もあります。必ず社外非公開と決まっているわけではありません。
情報セキュリティ方針は、自社の事業内容、組織の特性、保有する情報資産の特徴を踏まえて策定します。組織ごとに守る対象やリスクが異なるためです。