【2021年3月24日、問題を追加】
▼セキュリティポリシー(情報セキュリティポリシー)とは、企業などの組織が実行できるように国際標準化機構ISOと国際電気標準会議IECが共同で策定した仕様のことをいう。
日本語版が日本工業規格JIS Q 27002「情報セキュリティマネジメントの実践のための規範」である。下の表に示したように基本方針、対策基準、実施手順の3つからなる。
▼具体的な内容:
・どの情報を誰にアクセスさせ、誰にアクセスさせないか。
・どの操作を誰に対して許可し、誰に許可しないか。
・ウイルスや外部からの侵入に対して、どのような防御体制を整えるか。
・それらが正常に機能していることをどのように確認し、維持管理していくか。
▼効果:
・顧客情報・個人情報の取扱いに対するポリシーを公表、約束して不安を解消する。
・組織内のセキュリティ対策を実行し、セキュリティ上の事故を防ぐ。
・取組みをアピールし、対外的なイメージや信頼性の向上を図る。
▼情報セキュリティポリシーは、PDCAサイクルによって、評価・見直し、改善する。以上、Wikipediaの情報セキュリティポリシーの記事より要約。
▼では、Iパスの過去問をやってみましょう。
問61 IPA”組織における内部不正ガイドライン(第4版)”にも記載されている、内部不正防止の取組として適切なものだけを挙げたものはどれか。
a システム管理者を決めるときには、高い規範意識を持つ者を一人だけ任命し、全ての権限をその管理者に集中させる。
b 重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに、再発防止の措置を実施する。
c 内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す”基本方針”を策定し、役職員に周知徹底する。
ア a, b
イ a, b, c
ウ a, c
エ b, c
(Iパス・令和元年度秋期、解答エ)
問84 内外に宣言する最上位の情報セキュリティポリシに記載することとして、最も適切なものはどれか。
ア 経営陣が情報セキュリティに取り組む姿勢
イ 情報資産を守るための具体的で詳細な手順
ウ セキュリティ対策に掛ける費用
エ 守る対象とする具体的な個々の情報資産
(Iパス・令和元年度秋期、解答ア)
問78 情報セキュリティ対策において、情報を保護レベルによって分類して管理するとき、管理方法として、適切なものだけを全て挙げたものはどれか。
a 情報に付与した保護レベルは、廃棄するまで変更しない。
b 情報の取り扱い手順は、保護レベルごとに定める。
c 情報の保護レベルは、組織が作成した基準によって決める。
d 保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する。
ア a, c イ a, d ウ b, c エ b, d
(Iパス・平成30年度、秋期、解答ウ)