ITパスポート 過去問
令和3年度
問96 (テクノロジ系 問96)
問題文
情報セキュリティ方針に関する記述として、適切なものはどれか。
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
ITパスポート試験 令和3年度 問96(テクノロジ系 問96) (訂正依頼・報告はこちら)
情報セキュリティ方針に関する記述として、適切なものはどれか。
- 一度定めた内容は、運用が定着するまで変更してはいけない。
- 企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す。
- 企業の情報資産を保護するための重要な事項を記載しているので、社外に非公開として厳重に管理する。
- 自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する。
正解!素晴らしいです
残念...
この過去問の解説 (3件)
01
情報セキュリティ方針は、情報セキュリティの目標とそれを達成するためにすべき行動を社内外に宣言する文書です。
1.不正解です。定期的な改善が必要です。
2.不正解です。記載するのは理想像ではありません。
3.不正解です。
取引先等から開示を求められる場合もあるため、
社外非公開ではありません。
4.正解です。
参考になった数20
この解説の修正を提案する
02
4が正解です。
情報セキュリティ方針(ポリシー)とは、企業や組織が情報セキュリティに対する方針をまとめたものです。
情報資産を守るためにどのような対策をとるのか、「基本方針」、「対策基準」、「実施手順」の3つの構成で具体的に記載します。
「基本方針」:情報資源をどのような脅威からどのように守るのかなど取り組みの姿勢を示します。
「対策基準」:基本方針を実現、維持する為に行うべきことを示します。
「実施手順」:どのように実施していくのか手順を示します。
1) 不正解です。状況に応じて改善するように求められています。
2) 不正解です。
理想像ではなく実際に取り掛かるセキュリティ対策の内容を具体的にまとめる必要があります。
3) 不正解です。
公式ホームページに掲載するなど顧客や外部に公表することが推奨されています。
参考になった数9
この解説の修正を提案する
03
企業活動で行われる情報セキュリティ対策の方針は、大まかに次のような流れで実施されます。
1.情報セキュリティ管理者を任命
2.管理者は、自社の業務や保有資産について考えられるリスクを把握
3.社内の情報セキュリティルールを策定し、実践をしくみ化
4.情報セキュリティルールの定期的な見直し
「2」については「リスクアセスメント」や「リスクマネジメント」、「3」について、しくみ化されたものを「ISMS(情報セキュリティマネジメントシステム)」と呼びます。
ITの進歩に伴ってマルウェアも高度化し、またソーシャルエンジニアリングの手口も巧妙化の一方を辿るなか、
それに対する対策方針も定期的に見直す必要があります。
例えば情報漏洩やボットネットの踏み台にされるなど、情報セキュリティ事故というのは
遭遇した自社が加害者となってしまうケースもあります。
故に情報セキュリティ方針というのは「社会的責任が伴う」という観点から社内ルールとして策定されます。
従業員が情報セキュリティ方針を遵守して業務を遂行すること自体は「理想像」といえますが、策定されるのは
あくまで「安全性を意識した行動指針」です。
この場合だと非公開にされるべきは、例えば文書を保存する際に設定したパスワードや、保管用PCに設定されたPINコードなどであり、「情報資産を保護する」という方針自体は非公開とする必要はありません。
むしろ、「情報セキュリティ方針をきちんと立てている」ということを後悔することにより、企業としての信頼性確保にもつながります。
企業が保有する情報資産には、何かしらの脆弱性があるとみるべきです。
例えば、
・業務用PCのOSやアプリケーションはサポート期間中のものか
・営業用スマホには、PINコードや顔認証は設定してあるか
など、IT機器ひとつとっても情報セキュリティの観点から設定すべきルールはいくつもあります。
このように「自社の業務にはどのような潜在リスクがあるか」を洗い出し、その重要度などから
対策を検討することをリスクアセスメントといいます。(正解)
参考になった数1
この解説の修正を提案する
前の問題(問95)へ
令和3年度 問題一覧
次の問題(問97)へ