分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

情報セキュリティポリシーは、組織の経営者が最終的な責任者となり「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言する文書です。
ポリシーには、情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方と、情報セキュリティを確保するための体制、組織および運用などが包括的に規定されます。

したがって正解は「ア」です。

• 正しい。
• 情報セキュリティマネジメントシステムは、組織の情報セキュリティを管理するための仕組みです。
• ソーシャルエンジニアリングは、技術的な方法ではなく人の弱みに付け込んで、パスワードなどの秘密情報を不正に取得する方法の総称です。
• リスクアセスメントは、リスクマネジメントにおける「リスクの特定」から「リスクの評価」までの一連の活動です。