ISMS における情報セキュリティ方針に関する記述として、適切なものはどれか。
- ア. 企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
- イ. 個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したもの
- ウ. 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
- エ. 情報セキュリティに対する組織の意図を示し、方向付けしたもの
【答え】エ
【解説】
ISMS(情報セキュリティマネジメントシステム)における「情報セキュリティ方針」とは、企業や組織が情報セキュリティの基本方針やルールを明文化した文書です。経営陣が承認し、全社員に周知されるべきものであり、ISO/IEC 27001 の要求事項(企業が実現すべき基本要件)に含まれます。
各選択肢の解説
ア. 企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
→これは情報セキュリティ方針よりも下位の技術的ドキュメントにあたる内容です。ISMSでいう「情報セキュリティ方針」は、もっと抽象度が高く、組織のセキュリティに対する基本的な姿勢や方針を定めたものです。
イ. 個人情報を取り扱う部門を対象として、個人情報取扱い手順を規定したもの
→これは個人情報保護マニュアルや運用手順書に近い説明です
ウ. 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
→これは秘密保持契約(NDA)の説明です
エ. 情報セキュリティに対する組織の意図を示し、方向付けしたもの
→ ⭕ 情報セキュリティ方針に関する記述として適切です
以上より、正解はエ.となります。
情報セキュリティ管理 
