問題
問84
内外に宣言する最上位の情報セキュリティポリシに記載することとして、最も適切なものはどれか。
- 経営陣が情報セキュリティに取り組む姿勢
- 情報資産を守るための具体的で詳細な手順
- セキュリティ対策に掛ける費用
- 守る対象とする具体的な個々の情報資産
[出典:ITパスポート試験 令和元年度 問84]
スポンサーリンク
正解
正解は「ア」です。
解説
この問題は、「情報セキュリティポリシ」の構成と内容に関する基本的な理解を問うものです。正解は「ア:経営陣が情報セキュリティに取り組む姿勢」です。
情報セキュリティポリシには一般的に「基本方針(ポリシ)」「対策基準(スタンダード)」「実施手順(ガイドライン)」の3階層構造があります。その中で、最上位に位置するのが「基本方針」であり、これは企業や組織としての情報セキュリティに対する全体的な考え方・姿勢を内外に宣言するものです。
基本方針には、経営陣が情報セキュリティの重要性を認識しており、全社的に取り組む姿勢や目的、責任体制などが記載されます。これにより、社内外に対して「当社は情報セキュリティを重視している」というメッセージを明確に伝えることができます。
一方で、「具体的な手順」や「費用」「資産の特定」などは、下位の文書である対策基準や実施手順に記載される内容であり、基本方針には含まれません。
したがって、最も適切な選択肢は「ア:経営陣が情報セキュリティに取り組む姿勢」です。
- イ(情報資産を守るための具体的で詳細な手順):
これはセキュリティポリシの中でも「実施手順」に該当する内容であり、最上位の基本方針に記載する内容ではありません。 - ウ(セキュリティ対策に掛ける費用):
費用は実行段階での計画に関する事項であり、基本方針には記載されない実務的・運用的な内容です。 - エ(守る対象とする具体的な個々の情報資産):
資産の特定は「対策基準」などで定義される内容であり、基本方針には記載しません。
難易度
本問は、情報セキュリティポリシにおける文書構成を理解しているかを問う問題です。用語としてはやや抽象的な印象を与えるかもしれませんが、ポリシ構造を一度整理して学習していれば難しくはありません。難易度は「やや易しい」です。
スポンサーリンク
用語補足
情報セキュリティポリシ:
組織における情報セキュリティへの基本的な考え方や方針をまとめた文書群。基本方針・対策基準・実施手順の3層構造が一般的です。
基本方針:
情報セキュリティポリシの最上位文書で、経営者のセキュリティに対する姿勢や組織全体としての方向性を示します。外部への宣言的意味も持ちます。
実施手順:
情報セキュリティ対策を具体的にどう実行するかを記載した詳細な手順書。現場の担当者が実際の作業で参照します。
対策
情報セキュリティポリシの3層構造(基本方針、対策基準、実施手順)の役割を明確に理解し、どの内容がどの文書に記載されるべきかを整理して覚えておくことが重要です。図で構造を整理すると理解が深まります。
