【応用情報】ISMSの基本方針について
おはようございます。おーみんです。
現在、応用情報技術者試験の勉強中です。
今回の記事ではISMSという情報セキュリティマネジメントシステムについて解説していこうと思います。
ISMSの基本方針
ISMSというのは(Information Security Management System)の略です。
近年はインターネットが発達して便利な世の中になりましたが、ハッキング等による情報漏洩、改ざんなどが目立つようになってきました。
それらは個人情報の機密性を破ることもあれば金銭的な問題を発生させることもあります。
例えば記憶に新しい2018年1月末のコインチェックハッキング事件。
あれもハッキングによって約580億円相当の仮想通貨が盗まれました。
このようにセキュリティの行き届いていない組織は被害に合うのが現在の世の中なのです。
そこで組織の情報セキュリティマネジメントとして、どこまでセキュリティを意識して対策しているか(リスクを適切に管理しているか)を確立することをISMSと呼んでいます。
応用情報のISMSの問題を解いてみよう!
【問題】
ISMS適合性評価制度における情報セキュリティ基本方針に関する記述のうち、適切なものはどれか。(応用情報技術者試験 平成21年度春期午前 問40)
【選択肢】
ア:重要な基本方針を定めた機密文書であり、社内の関係者以外の目に触れないようにする。
イ:情報セキュリティのための経営陣の方向性及び支持を規定する。
ウ:セキュリティの基本方針を述べたものであり、ビジネス環境や技術が変化しても変更してはならない。
エ:特定のシステムについてリスク分析を行い、そのセキュリティ対策とシステム運用の詳細を記述したものである。
【問題の解説】
それぞれの選択肢を見ていきましょう。
ア:せっかくセキュリティの基本方針を定めても、公表しないことには意味がありません。よって不適切。
イ:正解です。
ウ:ビジネス環境や技術が変化すれば当然セキュリティも変化させていかないとあっという間に破られます。よって不適切。
エ:正しいように見えますが、ISMSの基本方針では個々の具体的なリスク分析は行いません。これはリスクアセスメントの説明ですね。
選択肢「エ」と悩む方は多いと思います(;^_^A
細かいですが、しっかり覚えていきましょう。