ITパスポート試験 令和7年度公開問題(全100問) トップへ
Part 4(問76〜100)

84

ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。

A経営事項が確定すれば、伝達する範囲を限定的にしてもかまわない。
B情報セキュリティ対策は一度策定したら見直してはならないが、ISMSに関するコミットメントを含める必要がある。
Cボトムアップを前提としており、各職場の管理者によって策定されるものである。
DISMSに関するコミットメントを含める必要がある。

解説

JIS Q 27001(ISO/IEC 27001)では、情報セキュリティ方針にはISMSに関するコミットメント(継続的改善への取組姿勢)を含めることが求められている。アは誤りで、方針は機密事項ではなく組織内外に広く伝達すべきものである。イは「一度策定したら見直してはならない」が誤りで、方針は定期的に見直す必要がある。ウはボトムアップではなくトップマネジメントが策定・承認するものであり誤り。エの「ISMSに関するコミットメントを含める必要がある」が正しい。