午前問9
IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に記載されている、基本方針、対策基準、実施手順から成る組織の情報セキュリティポリシに関する記述のうち、適切なものはどれか。
| 基本方針と対策基準は適用範囲を経営者とし、実施手順は適用範囲を経営者を除く従業員として策定してもよい。 | |
| 組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。 | |
| 組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は、その違いに応じて、複数の基本方針、対策基準及び実施手順を策定する。 | |
| 初めに具体的な実施手順を策定し、次に実施手順の共通原則を対策基準としてまとめて、最後に、対策基準の運用に必要となる基本方針を策定する。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- イ
解説
| ア. | 基本方針と対策基準は適用範囲を経営者とし、実施手順は適用範囲を経営者を除く従業員として策定してもよい。 |
| 情報セキュリティの適用範囲には経営者も含まれます。 | |
| イ. | 組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。 |
| ガイドラインでは対策手順と実施手順を1階層とし、基本方針を2階層を文書構成として策定しています。 | |
| ウ. | 組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は、その違いに応じて、複数の基本方針、対策基準及び実施手順を策定する。 |
| 基本方針と対策基準は1つです。 | |
| エ. | 初めに具体的な実施手順を策定し、次に実施手順の共通原則を対策基準としてまとめて、最後に、対策基準の運用に必要となる基本方針を策定する。 |
| 基本方針、対策基準、実施手順の順で策定します。 |