新たなリスクの整理と分析 《演習問題》
オリジナル
セキュリティポリシを作成し運営してきたが、運用面、技術面で新 たなリスクが考えられたときに取るべき対応として誤っているものは どれか。  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ア セキュリティポリシの見直しを行い、見直し結果はセキュリテ ィシステムの設計、実装、運用および管理の再構築につなげる。 イ セキュリティポリシの見直しの際は、経営層の承認を得て、明 確な管理体制が構築されている必要がある。 ウ 一度策定したセキュリティポリシは変更せずに運営しなければ ならない。 エ 新たなリスクにより、影響を受けるセキュリティポリシの箇所 を識別し整理する。
解 説
解答
ウ 一度策定したセキュリティポリシは変更せずに運営しなければ
ならない。
新たなリスクの整理と分析は、定期的に日程を定め、人的(管理的)
技術的(論理的)、物理的及び環境的観点から見直しを図る必要があります。
新たなリスクの整理と分析によって、当初のリスクアセスメントの基礎事項に影響を及ぼす
変化が現れた時は、セキュリティポリシの見直しを実施する必要があります。
セキュリティポリシの維持及び見直しを実施するに当たっては、情報セキュリティの
最高責任者CISOを中心とした体制が確立されていなければなりません。
セキュリティポリシの見直しが発生すると思われる事象を下記に挙げておきます。
・情報資産の構成の変化
・外部からの脅威の増加
・組織変更に伴う脆弱性の増加
・事業効率における管理策の費用対効果及び影響
・技術変更による費用対効果及び影響
情報セキュリティポリシの構造について見直しておきましょう。
◇情報セキュリティ基本方針 とは。。。
情報セキュリティに対する組織としての統一的かつ基本的な考え
方や方針を示すもので、単に「ポリシー」または「基本ポリシー」とも呼ばれます。
情報セキュリティポリシの最上位に位置付けられており、
情報セキュリティポリシの目的、対象範囲、維持管理体制、義務、罰則などが
記述されます。
◇情報セキュリティ対策基準 とは。。。
情報セキュリティ基本方針を実践し、適切な情報セキュリティレベルを
確保・維持するための遵守事項や基準であり、「スタンダード」とも呼ばれます。
◇情報セキュリティ対策対策手続、規程類 とは。。。
情報セキュリティ対策基準を実施するための詳細な手続や手順であり、
「プロシージャ」とも呼ばれます。各スタンダードをより具体化し、
各部署において実際に運用するための手続や手順が記述されます。
> ィシステムの設計、実装、運用および管理の再構築につなげる。
の見直しを図り、セキュリティシステムの再構築につなげます。
> 確な管理体制が構築されている必要がある。
> を識別し整理する。
sponsored link
このページ
のTOPへ
