皆さん、こんにちは。
制作部の関です。
櫛田に続き関もITパスポートの勉強中です。
ITパスポートの試験によく出る「ISMS」についてまとめてみました。
皆さん、ぱっと見て「ISMS」ってなんのことかわかりますか??
熟練者の方や勉強されている方はすぐに分かると思いますが、
まだまだ初学者の関にはピンときません( ;´Д`)
そこで今回は「ISMS」について調べてみました。
ISMSとは
ISMS(Information Security Management System)とは、
※インフォメーション セキュリティ マネジメント システム
自社における情報セキュリティのリスクを管理する仕組みのことを意味します。
自社内の情報資産やリスクを適切に管理することで、
情報資産の「機密性」「完全性」「可用性」を維持し、
利害関係者に対して信頼を与えることが、ISMS の役割です。
情報セキュリティに関する要件とは、具体的には「機密性」「完全性」「可用性」の3要素を指します。
・機密性:許可されたユーザーのみが情報にアクセスできる状態
・完全性:情報が正確な状態で保存され、改ざんや消去ができない状態
・可用性:必要なときに許可されたユーザーがいつでも問題なく情報へアクセスできる状態
この3要素のどれかひとつでも満たされていないものがあると、
情報セキュリティ上のリスクが生じます。
ISMS認証を受けるには、機密性・完全性・可用性のすべてが確保されていなければなりません。
ここまでわかったところで問題です。
ISMSにおける情報セキュリティ方針に関する記述として、適切なものではどれか?
[ア]企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
[イ]個人情報を取り扱う部門を対象として、個人情報取り扱い手順を規定したもの
[ウ]自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
[エ]情報セキュリティに対する組織の意図を示し、方向付けしたもの
皆さんはどれだと思いますか??
よく考えれば分かるものだと思います。
答えは[エ]です。
この問題が94番目の問題であり、集中力の限界が来ていた関は見事に間違えました。(言い訳)
関が買った参考書には情報セキュリティ方針の話がなかったので怒りを覚えましたが、よく考えればわかったかもしれませんので自分の責任ですね(汗
情報セキュリティ方針は、情報セキュリティに対する組織の取り組み姿勢を明文化したものです。
情報セキュリティの目標や目標達成のために取るべき行動などを規定し、
「組織のトップが承認して社内外に宣言」します。
[ア]企業が導入するセキュリティ製品を対象として作成され、セキュリティの設定値を定めたもの
[イ]個人情報を取り扱う部門を対象として、個人情報取り扱い手順を規定したもの
→情報セキュリティ方針は、製品のために作成されるものでも個人情報取り扱い手順を規定したものではありませんので違います。
[ウ]自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について、両社間で合意したもの
→これは関でもわかりました。かの有名な「NDA(秘密保持契約)」ですね。
[エ]情報セキュリティに対する組織の意図を示し、方向付けしたもの
→適切です。
いかがでしたでしょうか?
参考書を読むだけでなくひたすら過去問を解くのがいいと実感しましたね。
もっと書くべきことはありますが今日はこの辺で失礼します。
以上、制作部の関でした。