問題
問85
情報セキュリティポリシを、基本方針,対策基準及び実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。
- 基本方針は、経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。
- 基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。
- 実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。
- 対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。
[出典:ITパスポート試験 平成31年度春期 問85]
正解
正解は「ウ」です。
解説
正解はウの「実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。」です。情報セキュリティポリシとは、組織が情報セキュリティを守るために定めたルールやガイドラインの全体像を指します。これは通常、「基本方針」「対策基準」「実施手順」という3つの階層で構成されています。このうち「実施手順」は、最も具体的なレベルの文書です。
例えば、対策基準で「パスワードは複雑なものを設定すること」と定められていた場合、実施手順では「パスワードは英数字記号を混ぜて8文字以上にする」「パスワードの変更は毎月1日に、このWebサイトのパスワード変更画面から行う」といったように、実際に担当者がどのように作業を行うべきかを具体的に、かつ詳細に記述します。これにより、誰でも迷うことなく、定められたセキュリティ対策を正確に実行できるようになるのが目的です。
ア(基本方針は、経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。):
基本方針は、経営層が組織全体の情報セキュリティに対する基本的な考え方や姿勢を示すものであり、従業員が策定するものではありません。また、対策基準や実施手順に従うのは基本方針ではなく、それらが基本方針に基づいて策定されます。
イ(基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。):
基本方針は、情報セキュリティに対する全体的な理念や目標を示すもので、情報セキュリティ事故発生時の具体的な行動マニュアルではありません。事故対応の具体的な手順は、実施手順の一部として記述されます。
エ(対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。):
対策基準は、基本方針を実現するために、どのようなセキュリティ対策を行うべきかという具体的なルールや目標を定めたものです。基本方針や実施手順の内容を定めるものではなく、基本方針を受けて具体的な行動の基準を定めるものです。
難易度
この問題は、情報セキュリティポリシの構成要素である「基本方針」「対策基準」「実施手順」のそれぞれの役割を正しく理解しているかを問うものです。ITパスポート試験では頻出のテーマであり、各文書の具体性の度合いや、誰がどのような目的で作成・利用するのかを把握していれば、比較的容易に解答できるでしょう。特に、実施手順が最も現場レベルでの具体的な行動を示すものであるという点がポイントとなります。
用語補足
情報セキュリティポリシ:
組織が情報セキュリティを確保するために定める、全体的な考え方、目標、そして具体的なルールをまとめた文書群のことです。会社が情報を安全に扱うための「法律」のような役割を果たします。
基本方針:
情報セキュリティポリシの最上位に位置し、経営層が決定する情報セキュリティに対する組織の基本的な考え方や目的を示す文書です。例えば、「お客様のデータは厳重に保護する」といった、大まかな方向性を定めます。
対策基準:
基本方針を実現するために、どのようなセキュリティ対策を講じるべきかを示す具体的なルールです。例えば、「パスワードは8文字以上にする」「不審なメールは開かない」といった、具体的な行動の基準となるものです。
実施手順:
対策基準で定められたルールを、実際にどのように実行するかという具体的な作業方法や手順を示した文書です。例えば、「パスワードは毎月1日に、社内ポータルサイトから変更する」といった、日々の業務で役立つマニュアルのようなものです。
対策
情報セキュリティポリシに関する問題は、ITパスポート試験でよく出題されます。基本方針、対策基準、実施手順の3つの階層の関連性と、それぞれの文書が持つ具体性の度合いをしっかり理解することが重要です。基本方針が最も抽象的で経営層向け、対策基準が具体的なルール、実施手順が最も詳細な作業マニュアルという階層構造を覚えましょう。それぞれの文書が「誰が、何を、どのように」定めるのかを区別できるようになると、正解を導きやすくなります。
