[0557] 情報セキュリティポリシ

平成15年度秋期 初級システムアドミニストレータ試験より
セキュリティポリシに関する記述のうち,適切なものはどれか。
企業が保護すべき情報資産と,それを保護する理由を明示したものであり,情報セキュリティに対する考え方や取組みを示す目的で策定する。
個人情報保護の観点から情報セキュリティの管理策と実施手順を示したものであり,管理者が担当者を指導するための規範として策定する。
情報システムに関するセキュリティ対策を規定したものであり,採用するセキュリティ技術や製品の特性に基づいて作成する。
情報セキュリティに対する企業としての理想を掲げたものであり,情報セキュリティに対する情報システム管理者の取組み姿勢を表明する目的で作成する。

正解

解説

 問題文では「セキュリティポリシ」となっていますが,「情報セキュリティポリシ」とも呼ばれます。情報セキュリティポリシとは,組織におけるセキュリティに関する基本方針などを文章化し,定めたものです。これにより,情報セキュリティ運用を実施する上での手順・基準が明文化されるだけではなく,関係者への情報セキュリティに対する意識統一を図り,かつ,役割と責任の所在を明らかにすることができます。

 近年,個人情報の流出事故が相次ぎ,情報セキュリティへの関心が高まっています。セキュリティ担当者がファイアウォールを正しく運用しさえすればよい,という状況ではなくなってきました。外部の人間の建物内への進入,組織内部人間による情報の持ち出しなど,物理的な面,人間的な面からも情報セキュリティを考えなければなりません。そのためには基本方針を定め,情報資産の定義とリスクの分析を行って基準・手順を作成し,これを組織全体で運用する必要があります。

 情報セキュリティポリシは,一般的に基本方針・対策基準・実施手順の3階層で構成されます。

 基本方針は,組織としての情報セキュリティの考え方を述べたものです。情報セキュリティ全般について,統一的かつ基本的な方針を示します。

 対策基準は,基本方針を実現するために守るべき内容を記述したものです。何をどのレベルで守っていくのか,各対策分野ごとの管理レベルを示します。

 実施手順はは,対策基準を実現するために,どのような手順,方法をとるべきを具体的に表したものです。情報システムの利用や業務を遂行する上でのマニュアルに近い位置付けとなります。

 それでは選択肢をみていきましょう。

 企業が保護すべき情報資産と,それを保護する理由を明示したものであり,情報セキュリティに対する考え方や取組みを示す目的で策定する。
正しい記述です。

 個人情報保護の観点から情報セキュリティの管理策と実施手順を示したものであり,管理者が担当者を指導するための規範として策定する。
個人情報保護だけではなく,組織の情報資産全般について考える必要があります。

 情報システムに関するセキュリティ対策を規定したものであり,採用するセキュリティ技術や製品の特性に基づいて作成する。
情報システムだけではなく,物理的な面,人的な面についても対策が必要です。

 情報セキュリティに対する企業としての理想を掲げたものであり,情報セキュリティに対する情報システム管理者の取組み姿勢を表明する目的で作成する。
「理想」ではなく,実際の取り組みとしての考え方を掲げる必要があります。また,対象は情報システム管理者だけではなく,組織全体にかかわります。


 以上より,アが正解となります。
※ 解説の内容は執筆時点のものであり,含まれている情報の正確性,妥当性について保証するものではありません。ご注意ください・・・

関連する(かもしれない)問題