PR

問題

問56 情報セキュリティポリシに関する記述のうち、適切なものはどれか。

ア 企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を得なければならない。
イ 企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。
ウ セキュリティポリシ策定の要因となっている情報システムの脆(ぜい)弱性を対外的に公表しなければならない。
エ 目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。

テクノロジ系>技術要素>セキュリティ>情報セキュリティ管理

解説と解答

 情報セキュリティポリシーは、目標とするセキュリティレベルを達成するために、情報セキュリティに対する企業の考え方や取組み方を明文化したものです。目標とするセキュリティレベルを達成するためには、基本理念や目的、情報セキュリティポリシーの役割と位置付け、適用範囲、組織体制、法令等の遵守、情報セキュリティポリシーに違反したときの罰則などについて、遵守すべき行為と判断についての考え方を明確にする必要があります。

 したがって、正解は選択肢エです。

 そのほかの選択肢に関する説明は、次の通りです。

 選択肢アの記述について。企業のセキュリティポリシーに関する会社法の規定はありません。そのため、企業のセキュリティポリシーを策定する際に株主総会で承認を得る必要はありません。

 選択肢イの記述について。企業のセキュリティポリシーは、情報セキュリティに対する企業の考え方や取組み方を明文化したもであることから、導入するシステムごとに定義するのではなく、その企業全体で一つのセキュリティポリシーを定義します。

 選択肢ウの記述について。情報システムの脆弱性を対外的に公表してしまうと、それを突く攻撃を受けるリスクが高まります。そのため、公表すべきではありません。

小倉 美香(おぐら みか)
アプリケーションデザイナー 代表取締役
情報サービス会社の勤務を経て、1998年より現職。保持する資格は、プロジェクトマネージャ、テクニカルエンジニア(ネットワーク)、同(情報セキュリティ)、基本情報技術者など多数。著書に「3週間完全マスター ITパスポート 2010年版」などがある。