問題
テクノロジ系
問85 情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
選択肢
- ア基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- イ実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- ウ対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。
- エ対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
解説
正解:ア
概要
情報セキュリティポリシーを「基本方針・対策基準・実施手順」の3文書に分けたとき、それぞれの役割の違いを問う問題です。
正解の理由
基本方針は、組織として情報セキュリティに取り組む目的や方向性など、トップマネジメントの意思を示す最上位の文書です。対策基準は守るべきルール、実施手順はそのルールを現場で実行する具体的な手順を定めます。
各選択肢の解説
ア(〇): 基本方針は情報セキュリティの目標や取組姿勢などトップの意思を示し、対策基準や実施手順を作る前提となるため正しいです。
イ(×): 実施手順は作業のやり方を定める文書であり、基本方針や対策基準を決めるための記録ではないので誤りです。
ウ(×): 対策基準は組織内で守るべき具体的ルールを定めるもので、ポリシー文書の作り方の基準を示す説明は不適切です。
エ(×): 対策基準は平常時のルールを定める文書で、事故後の対策を実施手順より詳しく書く趣旨ではないため誤りです。
ポイント
基本方針は「方針(トップの意思)」、対策基準は「守るルール」、実施手順は「具体的なやり方」と対応付けて覚えます。