セキュリティ方針の策定 《演習問題》
サンプル問題午後I改題
〔S社の情報セキュリティ基本方針〕 【 a 】は、下記に示す“情報セキュリティ基本方針”を作成した。 社員各位 2001年×月×日 社長 情報セキュリティ基本方針 昨今、機密情報の漏えい、プライバシ侵害などの問題がクローズアップ されているが、当社において、万が一にもこのような状況が発生してはな らない。そこで、当社が情報セキュリティを重視することをここに明確に 示すものである。 (1)会社は、機密度及び重要度に基づく相応の情報セキュリティ対策を講 じる。 (2)社員は、別途定める"情報セキュリティ対策基準"を遵守して行動し、 会社の【 b 】の保全に努めること。 (3)情報技術の進展に合わせて適宣"情報セキュリティ対策基準"の見直し を図り、最善の方策を追求する。この対策基準の具体的な実現手段につ いては、各種規定で定める。 (4)会社が機密として扱う情報は、外部に漏えいしてはならない。 (5)社員は、情報セキュリティ意識の向上に努めなければならない。 当面、情報セキュリティに関する主管部門を経営企画室とし、経営企画室 長を情報セキュリティ管理者とする。 以上 設問1 本文中の【 a 】に入れる適切な字句を、5文字以内で答えよ。 設問2 本文中の【 b 】に入れる適切な字句を、5文字以内で答えよ。
解 説
難易度 ★
解答
社長 [経営者]
マネジメントシステムの中でトップマネジメントが果たすべき役割
は大きく、以下の3点があります。
(1)方針を打ち出し、組織内へ徹底させること。
(2)マネジメントシステムを機能させるための経営資源(人・モノ・
金)を提供すること。
(3)マネジメントレビューで、マネジメントシステムの実施状況を
確認し、必要な指示を与えること。
難易度 ★
解答
情報資産
◇情報資産 とは。。。
情報システムを構成する様々な要素で、守るべき価値を持つものが
情報資産であり、コンピュータのハードウェア、ソフトウェア、ネ
ットワーク、各種データ、記憶媒体など様々なものがあります。
◇情報セキュリティ基本方針 とは。。。
情報セキュリティに対する組織としての統一的かつ基本的な考え
方や方針を示すもので、単に「ポリシー」または「基本ポリシー」
とも呼ばれます。
情報セキュリティポリシーの最上位に位置付けられており、
情報セキュリティポリシーの目的、対象範囲、維持管理体制、
義務、罰則などが記述されます。
◇情報セキュリティ対策基準 とは。。。
情報セキュリティ基本方針を実践し、適切な情報セキュリティレ
ベルを確保・維持するための遵守事項や基準であり、
「スタンダード」とも呼ばれます。
◇情報セキュリティ対策対策手続、規程類 とは。。。
情報セキュリティ対策基準を実施するための詳細な手続や手順で
あり、「プロシージャ」とも呼ばれます。各スタンダードをより
具体化し、各部署において実際に運用するための手続や手順が記
述されます。
◇情報セキュリティポリシーのマネジメントサイクル
情報セキュリティポリシーは、策定しただけでは意味がなく、情報セ
キュリティポリシーに従い、運用を行い、日々変化していく業務、環
境に対応すべく継続的に改善を行う必要があります。
・Plan
組織の全般的な基本方針、および目標に沿った結果を出すための、
リスクマネジメント、および情報セキュリティの改善に関連する
情報セキュリティ基本方針、目標、対象、プロセス、および手順
を確立する。
・Do
その情報セキュリティ基本方針、管理策、プロセス、および手順
を導入し、運用する。
・Check
情報セキュリティ基本方針、目標、および実際の経験に照らして、
プロセスの実施状況を評価し、可能な場合、これを測定し、その
結果を見直しのために経営陣に報告する。
・Act
ISMSの継続的な改善を達成するために、マネジメントレビューの
結果に基づいて是正処置、および予防処置を講ずる。
sponsored link
このページ
のTOPへ
