【Iパス9問】情報セキュリティポリシーを「基本方針3点」と「実施手順2点」で解く!
「情報セキュリティポリシー」の問題文は「表記揺れ」で混乱してきます。
情報セキュリティ基本方針
情報セキュリティ方針
情報セキュリティポリシー
ISMSのおける情報セキュリティポリシー
これ全部、同じです。
問題を解くには、「基本方針」と「実施手順」の2つだけでOK。
そして、「基本方針の3点」「実施手順の2点」の5点を把握すれば全て正解できます。
令和5~28年度春の12回中、9回出題されています。また、セキュリティマネジメント試験が新設されたり、情報処理安全確保支援士が名称独占資格になり、今後も出題され続けるのは必然です。
このNoteで5点を理解した問題演習をして、ぜひぜひ得点源にしてくださいね。
なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、是非参考にしてくださいね。
\全てのNoteへのリンク集/
情報セキュリティポリシーの基礎
情報セキュリティポリシーは、自社で情報資産を守るために策定します。情報資産とは、お客の情報や設計図などなどで、企業活動や信頼性などのために守るべき情報です。
情報セキュリティポリシーの階層構造
3層で構成されます。
基本方針:組織としての宣言・思想・方針
対策基準:方針を基に作成した指針・基準
実施手順:基準を基に作成した具体的な手順・規則
「情報セキュリティポリシー = 基本方針」と思って大丈夫です。対策基準は「情報セキュリティポリシー」に内包されることが多いから。
よって、基本方針と実施手順の2つだけを考えて、充分得点できます。
情報セキュリティポリシーの基礎
情報セキュリティポリシー/基本方針では、3つ覚えておきます。
トップマネジメント(経営陣)が策定する
社内はもちろん社外にも広く周知する
適宜変更をして良い
よく「セキュリティなので機密文書にする」などと、ひっかけてきます。
ポリシーを社内・社外に周知することで「わが社はセキュリティを考えてますよ」と健全性をアピールし、社内外からの攻撃をけん制する意味もあります。
社外に秘密にすべきは、次の「実施手順」です。
実施手順の基礎
「実施手順は」は情報セキュリティポリシーに従って。各部署で策定します。ポリシー(基本方針→対策基準)→実施手順です。
社外に周知する必要はありません。セキュリティの手の内を見せることになるので危険です。
基礎の問題演習
ISMSにおける情報セキュリティ方針について、正しいものはどれか。
ア:企業が導入するセキュリティ製品の設定値を定めたもの
イ:個人情報を取り扱う部門での手順を規定したもの
ウ:自社と取引先企業で享受する情報資産の範囲と保護方法について合意したもの
エ:情報セキュリティへの組織として取り組む意図・方針を書いたもの
正答はエ。
ア:「製品」だけでもないし、設定値など具体的には定めません
イ:「個人情報」だけではない。プライバシーポリシー(個人情報保護方針)。
ウ:「取引先」だけではない。NDA(秘密保持契約)。
なお「ISMSにおける」とはよく出てきますが、「え!?何それ詳しく知ってないかも!」とギョっとしなくて大丈夫。ISMSは情報(I)セキュリティ(S)マネジメント(M, 管理)システム(S)なので、「組織でセキュリティを高める手段」と思う程度でOKです。
基本方針の3ポイント
3つ知っておけば大丈夫です。
トップマネジメント(経営層)が策定
社内だけでなく社外にも広く周知
適宜変更して良い
以上を踏まえて解いてみて下さい。
情報セキュリティ方針を改訂したことを周知する範囲はどれか。
ア:機密情報を扱う部署
イ:経営者
ウ:全従業員と外部関係者
エ:セキュリティ管理者
正答はウ。周知は社内と社外ですからね。
なお「情報セキュリティ方針」のように表記揺れがあります。「基本方針」や「情報セキュリティポリシー」と捉えて大丈夫です。
情報セキュリティポリシーに記載することはどれか。
ア:組織として情報セキュリティに取り組む姿勢
イ:情報資産を守る具体的手順
ウ:セキュリティ対策費用
エ:守るべき具体的な情報資産のリスト
正答はア。イは必ず消して下さい。
ISMSにおける情報セキュリティ方針について正しいのはどれか。
ア:企業の現状と切り離して、理想形を記述する。
イ:周知は情報セキュリティ担当者に限定する。
ウ:トップマネジメントが確立する。
エ:部門単位で策定する。
正答はウ。トップマネジメントに反応します。イは絶対に消しましょう。
ここでポイント。「現状と切り離して」に要注意。
「予算に関係なく」「経営方針に関係なく」「あらゆる対策」などはひっかけです。「ぼくの考えた最強のセキュリティ」が10兆円だったら絶対実施できませんよね。
セキュリティは組織の目的・現状から規模や優先順位を決めて高めます。
情報セキュリティ方針について正しいのはどれか。
ア:同じ業種で記述内容は全く同じで良い。
イ:全社共通のPCの設定を定めたもの。
ウ:トップマネジメントが確立する。
エ:部門ごとに最適化された方針も策定する。
正答はウ。トップマネジメントに反応します。
一応、他の選択肢にもツッコミを入れて、確認をしましょう。
ア:業界で手本はあっても、自社に合わせて策定します。
イ:方針で具体的なPCの設定は決めません。
エ:方針は組織全体で共通して策定します。
情報セキュリティ方針について正しいのはどれか。
ア:一度定めたら、運用が定着するまで変更しない。
イ:企業が目指すセキュリティの理想像を記載し、近づく活動を促す。
ウ:情報資産を保護する重要事項が記載されているため、社外に非公開にする。
エ:自社の事業内容や組織特性などを考慮して策定する。
正答はエ。
ア:改善すべき点は変更すべきですよね
イ:「理想像」がちょっとひっかかります
ウ:社外に公開して良いです
実施手順の2ポイント
実施手順について2点把握しておきましょう。
基本方針を基に規定する
各部署で規定する
情報セキュリティポリシを、基本方針・対策順・実施手順の3つの文書で構成した時、正しいのはどれか。
ア:基本方針は、対策基準や実施手順を定めるために、トップマネジメントが策定する。
イ:実施手順は、基本方針と対策基準を定めるための手順を記録したもの。
ウ:対策基準は、情報セキュリティポリシを策定するための文書基準を記したもの。
エ:対策基準は、セキュリティ事故が発生した時の実施手順を記述したもの。
方針→基準→実践手順に注目したら解けます。
正答はア。
イ、ウは誤りだと分かります。エは「実施手順」ですね。
情報セキュリティ方針の説明として正しいのはどれか。
ア:個人情報を取り扱う事業の義務を規定したもの。
イ:情報セキュリティを確保するための具体的な手順を示すもの。
ウ:情報セキュリティへの組織の意図を示し、方向づけをするもの。
エ:情報資産を管理しているサーバのセキュリティ設定値を規定するもの。
正答はウ。
イとエは、具体的で違いますね。アの個人情報だけでもないです。
情報セキュリティポリシーを、基本方針・対策順・実施手順の3つの文書で構成した時、正しいのはどれか。
ア:基本方針は、経営者が策定した対策基準・実施手順にしたがって、従業員が策定する。
イ:基本方針は、情報セキュリティ事故が発生した時に経営者が取る行動マニュアル。
ウ:実施手順は、対策基準を基に、担当者が実施する具体的な進め方を記述したもの。
エ:対策基準は、基本方針・実施手順に記述することを定めたもの。
正答はウ。
アとエは、方針→基準→手順に逆らっていますね。イは「方針」が「マニュアル」なわけないです。
まとめ | 基本方針3ポイント、実施手順2ポイント
まとめます。頭の整理と得点ができるようになったなら嬉しいです。
情報セキュリティポリシー/基本方針では、3つ覚えましたね。
トップマネジメント(経営陣)が策定する
社内はもちろん社外にも広く周知する
適宜変更をして良い
実施手順について2点把握しましたね。
基本方針を基に規定する
各部署で規定する
次は法律系として >>産業財産権<< がお薦めです。
\全てのNoteへのリンク集/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ