▼IP令和3年度:問96 情報セキュリティ方針に関する記述として、適切なものはどれか。
ア 一度定めた内容は、運用が定着するまで変更してはいけない。
イ 企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す。
ウ 企業の情報資産を保護するための重要な事項を記載しているもので、社外に非公開として厳重に管理する。
エ 自社の事業内容、組織の特性及び所有する情報資産の特長を考慮して策定する。
▼上に出てきた用語の意味
【情報セキュリティポリシー information security policy】企業などの組織が取り扱う情報やコンピュータシステムを安全に保つための基本方針や対策基準などを定めたもの。情報部門などの提案や助言などを得ながら経営層が策定し、全社に周知すべきものとされる。基本方針など一部は、その組織の情報管理についての考え方や取り組み方を表明する文書として外部や一般にも公開される。(IT用語辞典 e-Words)
▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼IPのシラバスでの位置付け
62. 情報セキュリティ管理 > (2) 情報セキュリティ管理:情報セキュリティ管理の必要性と情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の考え方
〔用語例〕情報セキュリティポリシ(情報セキュリティ方針)、情報セキュリティの要素(機密性、完全性、可用性、真正性、責任追跡性、否認防止、信頼性)、情報セ キュリティリスク、情報セキュリティインシデント、継続的改善(PDCA など)
▼比較:FEのシラバスでの位置付け
2.情報セキュリティ管理 >(4)情報セキュリティ諸規程(情報セキュリティポリシを含む組織内規程):情報セキュリティ管理における情報セキュリティポリシの基本的な考え方、及びそれに従った組織運営を理解する。また、組織の情報セキュリティ目的、資産の分類・管理手順、情報セキュリティ対策基準などを体系的に定めることを理解する。
〔用語例〕 情報セキュリティ方針、情報セキュリティ目的、情報セキュリティ対策基準、情報管理規程、秘密情報管理規程、文書管理規程、情報セキュリティインシデント対応規程(マルウェア感染時の対応ほか)、情報セキュリティ教育の規程、プライバシーポリシ(個人情報保護方針)、職務規程、罰則の規程、対外説明の規程、例外の規程、規則更新の規程、規程の承認手続、ソーシャルメディアガイドライン(SNS 利用ポリシ)
解答エ