情報セキュリティ管理 (全115問中110問目)
No.110
情報セキュリティの文書を詳細化の順に上から並べた場合,①~③に当てはまる用語の組合せとして,適切なものはどれか。
出典:平成22年春期 問61
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
IPA「情報処理推進機構」が公開している「情報セキュリティポリシーの策定」では、情報セキュリティポリシーは、基本方針(ポリシー),対策基準(スタンダード),実施手順(プロシージャー)の3階層の文書構成をとるのが一般的であるとされています。したがって①=基本方針,②=対策基準,③=実施手順が適切な組合せになります。
以下の説明はIPAのサイトに掲載されている内容を引用したものです。
以下の説明はIPAのサイトに掲載されている内容を引用したものです。
- 基本方針
- 組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。
- 対策基準
- 基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述します。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当します。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にします。
- 実施手順
- 対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアル的な位置づけの文書であり、詳細な手順を記述します。