オリジナル予想問題2 問44

情報セキュリティポリシーに関する文書を,基本方針,対策基準及び実施手順の三つに分けたとき,これらに関する説明のうち,適切なものはどれか。

  • 経営層が立てた基本方針を基に,対策基準を策定する。
  • 現場で実施している実施手順を基に,基本方針を策定する。
  • 現場で実施している実施手順を基に,対策基準を策定する。
  • 組織で規定している対策基準を基に,基本方針を策定する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
IPA「情報処理推進機構」が公開している「情報セキュリティポリシーの策定」に基づくと、情報セキュリティポリシーは、基本方針(ポリシー),対策基準(スタンダード),実施手順(プロシージャー)の3階層の文書構成をとるのが一般的であるとされています。
44.png
以下の説明はIPAのサイトに掲載されている内容を引用したものです。
基本方針
組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。
対策基準
基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述します。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当します。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にします。
実施手順
対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアル的な位置づけの文書であり、詳細な手順を記述します。
各文書の特性を考慮すると、情報セキュリティポリシーに関する文書の適切な策定手順は、基本方針→対策基準→実施基準なので適切な記述は「ア」になります。

出典


Pagetop