IPA情報セキュリティスキルマップ構築の調査研究1-10
ある企業において、情報セキュリティの基本文書を2年前に作成し
た。その後、企業のおかれている環境、ビジネスの内容も変化したた
め、見直しを進めている。このような場合、次の項で最も適切なもの
を選択せよ。
ア 新社長が就任し、経営戦略等も新しくなり、変更されたので、
「情報セキュリティの基本文書」をもう一度新しい視点で見直し
てみる。
イ 最近、「情報セキュリティの基本文書」に関して、他社の良い
例の発表会があり参加した。大変良いので、自社のものを、全面
変更することを考えている。
ウ 会社の新しい施策は出されているものの、まだ「情報セキュリ
ティの基本文書」の作成から2年しか経っておらず、当面はこの
ままにすることにした。
エ 「情報セキュリティの基本文書」を見直した結果、社長に承認
を頂いた。実際は、当初の予定より、少ない変更であるので、各
部署に正式に変更連絡を行うと、そのための作業が多く、効率が
悪いことから、今回は各部署への連絡は省こうと考えている。
解答
ア 新社長が就任し、経営戦略等も新しくなり、変更されたので、
「情報セキュリティの基本文書」をもう一度新しい視点で見直
してみる。
経営戦略が変更になった場合、「情報セキュリティの基本文書」は
必ず見直す必要があります。
また、見直しの結果、変更した場合は、変更内容を各部署に伝達し
ます。
> ア 新社長が就任し、経営戦略等も新しくなり、変更されたので、
> 「情報セキュリティの基本文書」をもう一度新しい視点で見直
> してみる。
正しい記述です。
情報セキュリティポリシは、策定するのが目的ではなく、運用され
て初めて有効となります。
企業を取り巻く環境、経営戦略の変化に応じて、情報セキュリティ
基本文書の内容も変更していくことになります。
> イ 最近、「情報セキュリティの基本文書」に関して、他社の良い
> 例の発表会があり参加した。大変良いので、自社のものを、全面
> 変更することを考えている。
誤った記述です。
他社の情報セキュリティの基本文書が良いものであったとしても、
それは、他社の環境に適合したものであり、全面的に採用すること
は望ましくありません。
自社の情報セキュリティの基本文書の精度を高める目的で、他社の
情報セキュリティの基本文書を参考にするのはよいでしょう。
> ウ 会社の新しい施策は出されているものの、まだ「情報セキュリ
> ティの基本文書」の作成から2年しか経っておらず、当面はこの
> ままにすることにした。
誤った記述です。
新しい施策が出されていることから、作成期日に関わらず、既存の
情報セキュリティの基本文書の変更有無を検討する必要があります。
> エ 「情報セキュリティの基本文書」を見直した結果、社長に承認
> を頂いた。実際は、当初の予定より、少ない変更であるので、各
> 部署に正式に変更連絡を行うと、そのための作業が多く、効率が
> 悪いことから、今回は各部署への連絡は省こうと考えている。
誤った記述です。
「情報セキュリティの基本文書」は、社長に承認を得ることが目的
ではなく、組織のポリシとなることが目的です。
そのためには、変更箇所の大小に関わらず、変更が発生した場合は、
規定の連絡手順に従い、各部署に周知徹底を図るべきです。
た。その後、企業のおかれている環境、ビジネスの内容も変化したた
め、見直しを進めている。このような場合、次の項で最も適切なもの
を選択せよ。
ア 新社長が就任し、経営戦略等も新しくなり、変更されたので、
「情報セキュリティの基本文書」をもう一度新しい視点で見直し
てみる。
イ 最近、「情報セキュリティの基本文書」に関して、他社の良い
例の発表会があり参加した。大変良いので、自社のものを、全面
変更することを考えている。
ウ 会社の新しい施策は出されているものの、まだ「情報セキュリ
ティの基本文書」の作成から2年しか経っておらず、当面はこの
ままにすることにした。
エ 「情報セキュリティの基本文書」を見直した結果、社長に承認
を頂いた。実際は、当初の予定より、少ない変更であるので、各
部署に正式に変更連絡を行うと、そのための作業が多く、効率が
悪いことから、今回は各部署への連絡は省こうと考えている。
解説
難易度 ★★解答
ア 新社長が就任し、経営戦略等も新しくなり、変更されたので、
「情報セキュリティの基本文書」をもう一度新しい視点で見直
してみる。
経営戦略が変更になった場合、「情報セキュリティの基本文書」は
必ず見直す必要があります。
また、見直しの結果、変更した場合は、変更内容を各部署に伝達し
ます。
> ア 新社長が就任し、経営戦略等も新しくなり、変更されたので、
> 「情報セキュリティの基本文書」をもう一度新しい視点で見直
> してみる。
正しい記述です。
情報セキュリティポリシは、策定するのが目的ではなく、運用され
て初めて有効となります。
企業を取り巻く環境、経営戦略の変化に応じて、情報セキュリティ
基本文書の内容も変更していくことになります。
> イ 最近、「情報セキュリティの基本文書」に関して、他社の良い
> 例の発表会があり参加した。大変良いので、自社のものを、全面
> 変更することを考えている。
誤った記述です。
他社の情報セキュリティの基本文書が良いものであったとしても、
それは、他社の環境に適合したものであり、全面的に採用すること
は望ましくありません。
自社の情報セキュリティの基本文書の精度を高める目的で、他社の
情報セキュリティの基本文書を参考にするのはよいでしょう。
> ウ 会社の新しい施策は出されているものの、まだ「情報セキュリ
> ティの基本文書」の作成から2年しか経っておらず、当面はこの
> ままにすることにした。
誤った記述です。
新しい施策が出されていることから、作成期日に関わらず、既存の
情報セキュリティの基本文書の変更有無を検討する必要があります。
> エ 「情報セキュリティの基本文書」を見直した結果、社長に承認
> を頂いた。実際は、当初の予定より、少ない変更であるので、各
> 部署に正式に変更連絡を行うと、そのための作業が多く、効率が
> 悪いことから、今回は各部署への連絡は省こうと考えている。
誤った記述です。
「情報セキュリティの基本文書」は、社長に承認を得ることが目的
ではなく、組織のポリシとなることが目的です。
そのためには、変更箇所の大小に関わらず、変更が発生した場合は、
規定の連絡手順に従い、各部署に周知徹底を図るべきです。