【過去問倶楽部】資格対策
～ビジネスキャリア検定～
　（平成25年　後期　　経営情報システム（情報化活用）　2級)

【問題 26】
情報セキュリティの導入及び運営に関する記述として適切なものは、次のうちどれか。

情報セキュリティ基本方針には、目的を始めとしてそれに基づいた適用範囲や推進体制等が定められていることから、導入の目的を変更しようとするとき以外は、見直しや改訂を行う必要はない。

情報セキュリティの目的が達成できるのであれば、全社への適用ではなく、特定の部門への適用でもよい。ただしその場合には、適用範囲外の部門に依存する作業、適用範囲外の者によるアクセス等に対して、適切な管理策を講じなければならない。

情報セキュリティのリスク分析・評価とリスク対応の決定、管理策の採用という作業は、情報セキュリティの導入時に行えばよく、導入後は管理策が有効に運用されているかの監視と運用が有効でない場合の改善を行なえばよい。

情報セキュリティの基準は、たくさんの管理策が示されたルールベースのマネジメントシステムであることから、適用範囲に該当する管理策を採用・手順化し、その運用状況を監視し、必要に応じて改善していく必要がある。

情報セキュリティの監視には、技術的な方法によるモニターや人による日常的な点検・報告等を随時行うものと内部監査のように定期的に行うものとがあるが、いずれも採用された管理策が規定・手順のとおりに運用されているかの確認だけを行えばよい。