情報セキュリティ方針に関する記述として、適切なものはどれか。
- ア. 一度定めた内容は、運用が定着するまで変更してはいけない。
- イ. 企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す。
- ウ. 企業の情報資産を保護するための重要な事項を記載しているので、社外に非公開として厳重に管理する。
- エ. 自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する。
【答え】エ
【解説】
各選択肢の解説
ア. 一度定めた内容は、運用が定着するまで変更してはいけない。
→情報セキュリティ方針は、環境変化やリスクの変動に応じて見直すべきものであり、状況に応じて柔軟に更新が必要です。
イ. 企業が目指す情報セキュリティの理想像を記載し、その理想像に近づくための活動を促す。
→情報セキュリティ方針は、組織が取り組むべき方向性を明確にするものですが、「理想像」や抽象的なビジョンの提示ではなく、実践的な基本的指針を示します。
ウ. 企業の情報資産を保護するための重要な事項を記載しているので、社外に非公開として厳重に管理する。
→情報セキュリティ方針は社外にも公開されることが多く、社員や取引先など、関係者が方針を理解・遵守できるようにするためにも公開性が重視されます。
エ. 自社の事業内容、組織の特性及び所有する情報資産の特徴を考慮して策定する。
→ ⭕ 情報セキュリティ方針は画一的なものではなく、各組織の事業内容やリスク状況に応じて策定すべきものであり、自社の特性に合ったポリシーを策定するのが基本です。
以上より、正解はエ.となります。
情報セキュリティ管理 
