問題
問85
情報セキュリティポリシを、基本方針、対策基準、実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なのはどれか。
- 基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- 実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- 対策基準は、ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
- 対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
[出典:ITパスポート試験 令和4年度 問85]
スポンサーリンク
正解
正解は「ア」です。
解説
正解は「ア」の「基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」です。基本方針は、組織の情報セキュリティに関する全体的な方向性や目標を示すものであり、トップマネジメントの意思を反映しています。これに基づいて、具体的な対策基準や実施手順が策定されます。
イ(実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。):
実施手順は、基本方針や対策基準に基づいて実際に行うべき具体的な手順を示すものであり、作業の手順を記録するものではありません。
ウ(対策基準は、ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。):
対策基準は、情報セキュリティに関する具体的な対策やルールを示すものであり、ISMSに準拠することはありますが、それだけを示すものではありません。
エ(対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。):
対策基準は、事故が発生する前に定めるものであり、事故後の対策を詳しく記述するものではありません。
難易度
やや難しい
この問題は、情報セキュリティポリシの基本的な構成要素についての理解を問うものであり、ITパスポート試験の範囲内であれば比較的理解しやすい内容です。しかし、初学者にとっては用語の意味を正確に把握する必要があるため、やや難しく感じるかもしれません。
スポンサーリンク
用語補足
基本方針:
組織の情報セキュリティに関する全体的な方向性や目標を示す文書です。トップマネジメントの意思を反映し、組織全体の情報セキュリティ活動の基盤となります。
対策基準:
対策基準は、情報セキュリティの基本方針に基づき、情報資産を守るために講じるべき具体的な対策や基準を示す文書です。
対策
情報セキュリティポリシの構成要素である基本方針、対策基準、実施手順の内容と役割を整理しておくことが重要です。例題を解くことで、各要素の違いや関係性をより具体的に理解できます。また、ISMS(情報セキュリティ管理システム)などの枠組みに関連付けて学習するとさらに効果的です。
