情報セキュリティポリシに関する記述のうち、適切なものはどれか。
ア:企業のセキュリティポリシは、会社法の規定に基づき、株主総会で承認を得なければならない。
イ:企業のセキュリティポリシは、導入するシステムごとに定義する必要がある。
ウ:セキュリティポリシ策定の要因となっている情報システムの脆(ぜい)弱性を対外的に公表しなければならない。
エ:目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。
答:エ
ア:誤り。情報セキュリティポリシは会社法では規定されておらず、株主総会での承認も必要ない。
イ:誤り。情報セキュリティポリシは導入するシステムごとではなく、企業として1つの方針を明確にする。
ウ:誤り。情報システムの脆弱性を対外的に公表する必要はない。
エ:正しい。目標とするセキュリティレベルを達成するために、遵守すべき行為及び判断についての考え方を明確にすることが必要である。