問題
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
選択肢
- 1機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
- 2情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。
- 3部門の特性に応じて最適化するので、ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
- 4ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
正解
2. 情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。
詳しい解説を見る解説を閉じる
解説
情報セキュリティ方針はISMSの基本となる文書であり、経営層のコミットメントを示し、継続的改善(PDCAの繰返し)の方針を明示することが求められる。よってイが正しい。アは、情報セキュリティ方針は関係者全員に周知すべきものであり、取引先や顧客にも公開する場合が多いため誤り。ウは、ISMSは組織全体を対象として整合性をもって策定する必要があり、部門ごとに別個に定めるのは適切ではない。エは、方針は経営層(トップマネジメント)が策定・承認するものであり、ボトムアップで個別に承認するのは誤りである。(出典: 令和7年度分 ITパスポート試験 問84)
記憶定着問題
全200問を繰り返し学習