問題
問94
企業において情報セキュリティポリシー策定で行う作業のうち、次の作業の実施順序として、適切なものはどれか。
- a. 策定する責任者や担当者を決定する。
- b. 情報セキュリティ対策の基本方針を策定する。
- c. 保有する情報資産を洗い出し、分類する。
- d. リスクを分析する。
- a → b → c → d
- a → b → d → c
- b → a → c → d
- b → a → d → c
[出典:ITパスポート試験 令和6年度 問94]
スポンサーリンク
正解
正解は「ア」です。
解説
情報セキュリティポリシーの策定には、適切な手順を踏むことが重要です。順序を間違えると、実際に運用する際に問題が発生する可能性があります。本問題では、適切なプロセスを理解し、正しい順序を選択することが求められています。
情報セキュリティポリシー策定の流れ
- 策定する責任者や担当者を決定する(a)
- セキュリティポリシーを策定する際、まず責任者と担当者を決める必要があります。適切なリーダーシップがなければ、ポリシー策定が進みません。
- 情報セキュリティ対策の基本方針を策定する(b)
- 次に、企業の方針に基づいて基本的なセキュリティ方針を策定します。これは、組織全体でセキュリティの方向性を定める重要なプロセスです。
- 保有する情報資産を洗い出し、分類する(c)
- 次に、企業内の情報資産を洗い出し、それぞれの重要度やリスクのレベルに応じて分類を行います。
- リスクを分析する(d)
- 最後に、洗い出した情報資産に対して、どのようなリスクが存在するかを分析します。リスク分析を行うことで、適切なセキュリティ対策を検討できます。
イ (a → b → d → c):
リスク分析(d)を、情報資産の洗い出し(c)より先に行っています。しかし、情報資産の種類を把握しなければ、正確なリスク分析はできません。そのため、この順番は適切ではありません。
ウ (b → a → c → d):
基本方針(b)を策定する前に、責任者・担当者(a)を決める必要があります。この順番では、誰がポリシーを策定するのか不明確なまま進んでしまうため、適切ではありません。
エ (b → a → d → c):
ウと同じように、基本方針(b)を策定する前に責任者・担当者(a)を決める必要があります。また、リスク分析(d)の前に、情報資産の洗い出し(c)を行わなければならないため、この順番は不適切です。
難易度
普通
セキュリティポリシー策定の一般的な手順に関する理解が求められるため、基本的な知識があれば解答できる問題です。
スポンサーリンク
用語補足
情報セキュリティポリシー:
企業が情報の機密性、完全性、可用性を維持するためのルールや方針を定める文書です。組織の方針、管理基準、具体的な手順を含みます。
対策
- 情報セキュリティポリシーの策定プロセスの各ステップ(方針決定、責任者決定、リスク分析、情報資産の分類)を整理し、順序を理解することが重要です。
- 過去の事例やガイドラインを確認し、実際の企業における適用例を学習すると理解が深まります。
created by Rinker
¥1,793
(2025/04/22 05:44:42時点 楽天市場調べ-詳細)
