ITパスポート講座
★ 猫本 5-03 情報セキュリティマネジメント(その5) ★
ITパスポート 平成29年度春期 問62
ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。
| ア | 情報セキュリティ監査基準 |
| イ | 情報セキュリティ実施手順 |
| ウ | 情報セキュリティ対策基準 |
| エ | 情報セキュリティ方針 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | 「情報セキュリティ監査業務の品質を確保し,有効かつ効果的に監査を実施することを目的とした監査人の行為規範である。」(SC22.1.II.25) |
| イ | 「実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。」(IP31.1.85) |
| ウ | 情報セキュリティ対策の指針(一般的な規定など)を策定する。 |
| エ | 「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)(正解) |
解答
エ
ITパスポート 令和3年度 問96
情報セキュリティ方針に関する記述として,適切なものはどれか。
| ア | 一度定めた内容は,運用が定着するまで変更してはいけない。 |
| イ | 企業が目指す情報セキュリティの理想像を記載し,その理想像に近づくための活動を促す。 |
| ウ | 企業の情報資産を保護するための重要な事項を記載しているので,社外に非公開として厳重に管理する。 |
| エ | 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | 運用を開始した後も定期的に見直し,内外の状況に応じて改定していく。 |
| イ | 「経営陣が情報セキュリティに取り組む姿勢」(IP01.2.84)を記載する。企業が目指す情報セキュリティの理想像を記載するものではない。 |
| ウ | 「情報セキュリティに対する組織の意図を示し,方向付けをするものである。」(IP30.2.70)内外に公開して周知する。 |
| エ | 自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。(正解) |
解答
エ
ITパスポート 令和元年度秋期 問84
内外に宣言する最上位の情報セキュリティポリシに記載することとして,最も適切なものはどれか。
| ア | 経営陣が情報セキュリティに取り組む姿勢 |
| イ | 情報資産を守るための具体的で詳細な手順 |
| ウ | セキュリティ対策に掛ける費用 |
| エ | 守る対象とする具体的な個々の情報資産 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
よって,アである。
解答
ア
ITパスポート 平成30年度春期 問93
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
| ア | 企業の現状とは切り離して,目標とする理想形を記述するのがよい。 |
| イ | 周知は情報セキュリティ担当者だけに限定するのがよい。 |
| ウ | トップマネジメントが確立しなければならない。 |
| エ | 適用範囲が企業全体であっても,部門単位で制定するのがよい。 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | 「自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。」(IP03.1.96)。理想形を記述するものではない。 |
| イ | 「情報セキュリティに対する組織の意図を示し,方向付けをするものである。」(IP30.2.70)。内外に公開して周知する。 |
| ウ | 「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)(正解) |
| エ | 適用範囲が企業全体であり,部門単位で制定するものではない。 |
解答 ウ
ITパスポート 平成29年度秋期 問68
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
| ア | 同じ業種であれば記述内容は同じである。 |
| イ | 全社共通のPCの設定ルールを定めたものである。 |
| ウ | トップマネジメントが確立しなければならない。 |
| エ | 部門ごとに最適化された情報セキュリティ方針を,個別に策定する。 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | 「自社の事業内容,組織の特性及び所有する情報資産の特徴を考慮して策定する。」(IP03.1.96) |
| イ | 具体的な設定ルールを定めたものではない。 |
| ウ | 「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)(正解) |
| エ | 適用範囲が企業全体であり,部門ごとに個別に策定するものではない。 |
解答
ウ
ITパスポート 平成28年度秋期 問71
企業におけるISMSの活動において,自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したものはどれか。
| ア | BCP |
| イ | ISMS要求事項 |
| ウ | PDCA |
| エ | 情報セキュリティ方針 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | BCP(Business Continuity Plan:事業継続計画):「事業中断の原因とリスクを想定し,未然に回避又は被害を受けても速やかに回復できるように方針や行動手順を規定したもの」(FE23.2.61) |
| イ | JIS Q 27001(ISO/IEC 27001):ISMSの要求事項を定めた規格。ISMSの確立及び実施にあたり,組織が行うべき事項を記載している。 |
| ウ | PDCAサイクル:Plan(計画)-Do(実施)-Check(検証)-Action(改善) |
| エ | 「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)(正解) |
解答
エ
ITパスポート 平成28年度春期 問73
情報セキュリティマネジメントシステムを構築した企業において,情報セキュリティ方針を改訂したことを周知する範囲として,適切なものはどれか。
| ア | 機密情報を扱う部署の従業員 |
| イ | 経営者 |
| ウ | 全ての従業員及び関連する外部関係者 |
| エ | セキュリティ管理者 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
情報セキュリティ方針を策定及び改訂したときは,内外に公開し周知する。
よって,ウである。
解答
ウ
ITパスポート 平成30年度秋期 問70
ISMSにおける情報セキュリティ方針の説明として,適切なものはどれか。
| ア | 個人情報を取り扱う事業者が守るべき義務を規定するものである。 |
| イ | 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。 |
| ウ | 情報セキュリティに対する組織の意図を示し,方向付けをするものである。 |
| エ | 保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | 個人情報保護方針 |
| イ | 情報セキュリティ実施手順 |
| ウ | 情報セキュリティ方針(正解) |
| エ | しきい値 |
解答
ウ
ITパスポート 平成31年度春期 問85
情報セキュリティポリシを,基本方針,対策基準及び実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
| ア | 基本方針は,経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。 |
| イ | 基本方針は,情報セキュリティ事故が発生した場合に,経営者が取るべき行動を記述したマニュアルのようなものである。 |
| ウ | 実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。 |
| エ | 対策基準は,基本方針や実施手順に何を記述すべきかを定めて,関係者に周知しておくものである。 |
解説
(頭の準備体操)
情報セキュリティ方針(基本方針):「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)
| ア | 「基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」(IP04.1.85)。 |
| イ | 基本方針は,具体的で詳細な手順などを記載するものではない。 |
| ウ | 実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。(正解) |
| エ | 対策基準は,情報セキュリティ対策の指針(一般的な規定など)を策定したもので,関係者に周知しておくものである。 |
解答
ウ
ITパスポート 令和4年度 問85
情報セキュリティポリシを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
| ア | 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。 |
| イ | 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。 |
| ウ | 対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。 |
| エ | 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。 |
解説
(頭の準備体操)
情報セキュリティ方針:「ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書」(IP29.1.62)
| ア | 「ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書」(IP29.1.62) (正解) |
| イ | 「実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。」(IP31.1.85) |
| ウ | 対策基準は,情報セキュリティ対策の指針(一般的な規定など)を策定したものである。 |
| エ | 「実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。」(IP31.1.85)。実施手順は,対策基準よりも詳しく記述したものである。 |
解答
ア