問題
テクノロジ系
問94 企業において情報セキュリティポリシー策定で行う作業のうち,次の作業の実施順序として,適切なものはどれか。 a. 策定する責任者や担当者を決定する。 b. 情報セキュリティ対策の基本方針を策定する。 c. 保有する情報資産を洗い出し,分類する。 d. リスクを分析する。
選択肢
- アa → b → c → d
- イa → b → d → c
- ウb → a → c → d
- エb → a → d → c
解説
正解:ア
概要
この問題は,企業で情報セキュリティポリシーを策定する際の作業手順として適切な順序を問う問題です。体制づくり,基本方針,資産把握,リスク分析の流れを理解しているかがポイントです。
正解の理由
まず策定の責任者や担当者を決めて体制を整え,次に対策の基本方針を定めます。その上で保有する情報資産を洗い出して分類し,最後に資産と脅威を前提にリスクを分析するのが自然な順序です。よってa→b→c→dとなり正解はアです。
各選択肢の解説
ア(〇): 体制の確立(a)を行った後に基本方針(b)を定め,情報資産の洗い出しと分類(c)をしてからリスク分析(d)へ進む流れで適切です。
イ(×): リスク分析(d)には,対象となる情報資産の洗い出しと分類(c)が前提として必要です。cより先にdを行う順序は不適切なので誤りです。
ウ(×): 基本方針(b)は責任者や担当者の体制(a)が定まってから決めるのが一般的です。bが先行する順序は不適切なので誤りです。
エ(×): 基本方針(b)が体制(a)より先で不適切です。さらにdがcより先で,資産把握前にリスク分析する形になるため誤りです。
ポイント
情報セキュリティポリシー策定は「体制→基本方針→情報資産の把握・分類→リスク分析」の順で整理します。リスク分析は資産の洗い出しが前提になる点を押さえます。