情報セキュリティポリシに関する考え方のうち、適切なものはどれか。
ア:いかなる情報資産に対しても、実施する対策の費用は同一であることが望ましい。
イ:情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は、経営者を始めとした幹部だけに開示すべきである。
ウ:情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業員とすべきである。
エ:情報セキュリティポリシを初めて作成する場合は、同業他社のポリシをサンプルとして、できるだけそのまま利用することが望ましい。
答:ウ
ア:誤り。情報資産が異なれば脅威も対策も異なるため、実施する対策の費用は同一にならない。
イ:誤り。情報セキュリティ基本方針は、全従業員に開示するべきである。
ウ:正しい。情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業員とすべきである。
エ:誤り。情報セキュリティポリシは、同業他社を参考にしても、自社に合った策定が望ましい。