科目A問85
情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
| 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。 | |
| 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。 | |
| 対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。 | |
| 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
情報セキュリティポリシー(Information Security Policy)は、組織が保有する情報資産を守るための基本的な考え方やルールを体系的にまとめたものです。一般的に、基本方針、対策基準、実施手順の三つで構成されます。
基本方針は、経営者(トップマネジメント)が情報セキュリティに取り組む姿勢や目的を示すものであり、「なぜ必要か(Why)」を定める最上位の文書です。
対策基準は、基本方針を受けて組織として何を実施すべきかを定めるものであり、「何をするか(What)」を規定したルール集です。
実施手順は、対策基準で定めた内容を具体的にどのように実行するかを示すものであり、「どのように行うか(How)」を記述した手順書です。
このように、情報セキュリティポリシーは「Why → What → How」という階層構造で整理されることが重要です。
基本方針は、経営者(トップマネジメント)が情報セキュリティに取り組む姿勢や目的を示すものであり、「なぜ必要か(Why)」を定める最上位の文書です。
対策基準は、基本方針を受けて組織として何を実施すべきかを定めるものであり、「何をするか(What)」を規定したルール集です。
実施手順は、対策基準で定めた内容を具体的にどのように実行するかを示すものであり、「どのように行うか(How)」を記述した手順書です。
このように、情報セキュリティポリシーは「Why → What → How」という階層構造で整理されることが重要です。
| ア. | 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。 |
| 基本方針は、トップマネジメントの意思を示し、対策基準や実施手順の基礎となる文書です。 | |
| イ. | 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。 |
| 実施手順は、対策基準を具体的に実行するための手順であり、ポリシー策定時の作業手順ではありません。 | |
| ウ. | 対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。 |
| 対策基準は、ポリシー策定の基準ではなく、実施すべき具体的なルールを定める文書です。 | |
| エ. | 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。 |
| 対策基準よりも実施手順の方が詳細に記述されるため、役割の説明が逆です。 |