午前問85
情報セキュリティポリシを、基本方針、対策基準及び実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。
| 基本方針は、経営者が作成した対策基準や実施手順に従って、従業員が策定したものである。 | |
| 基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。 | |
| 実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。 | |
| 対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ウ
解説
情報セキュリティポリシーは、基本方針・対策基準・実施手順の3層で構成します。基本方針は経営者が最初に策定し、情報セキュリティへの取り組み姿勢や目標、取るべき行動を社内外に示す文書です。対策基準は基本方針を受けて、組織として何を実施すべきか(What)を定める規程群です。実施手順は対策基準を現場で実行できるよう、どのように実施するか(How)を具体的手順として示すマニュアル的位置付けの文書です。策定は「基本方針 → 対策基準 → 実施手順」の順で行います。以上より、ウが適切です。
| ア. | 基本方針は、経営者が作成した対策基準や実施手順に従って、従業員が策定したものである。 |
| 不適切です。基本方針は従業員が対策基準や実施手順に従って作るものではなく、経営者が最初に策定する最上位文書です。 | |
| イ. | 基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。 |
| 不適切です。事故時の具体的な対処のようなマニュアル的内容は実施手順に記載します。基本方針は目標や取り組み姿勢を示す宣言です。 | |
| ウ. | 実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。 |
| 適切です。実施手順は、対策基準で定めた事項を担当者が実行できるよう、具体的な進め方を記述します。 | |
| エ. | 対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。 |
| 不適切です。対策基準は何を実施すべきかを定める規程であり、基本方針や実施手順に何を記すかを定義して周知する文書ではありません。周知対象となるのは原則として基本方針です。 |