情報セキュリティ管理 (全115問中14問目)
No.14
情報セキュリティポリシーを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
出典:令和4年春期 問85
- 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- 対策基準は,ISMSに準拠した情報セキュリティポリシーを策定するための文書の基準を示したものである。
- 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
ア
解説
情報セキュリティポリシーとは、組織が保有する情報資産の情報セキュリティ対策について総合的・体系的かつ具体的にとりまとめたものです。一般的にセキュリティポリシー群は、組織のセキュリティの目標と目標を達成するために組織の構成員がとるべき行動等を宣言するポリシー(基本方針)、基本方針に従い何を実施しなければならないのかを規定するスタンダード(対策基準)、対策基準を詳細化し、手順を示すプロシージャ(実施手順)で構成されます(参考:IPAサイバーセキュリティ経営ガイドライン解説書Ver.1.0 P18)。
- 基本方針
- 組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にします。また、業界標準、該当する法令、政府規制への準拠を宣言する場合があります。
- 対策基準
- 基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述します。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当します。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にします。
- 実施手順
- 対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述します。マニュアル的な位置づけの文書であり、詳細な手順を記述します。
- 正しい。基本方針は、経営者が「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。情報セキュリティポリシー群の最上位に位置します。
- 実施手順は、基本方針と対策基準を確実に実行するための個々の業務手順・運用規則・マニュアルに相当します。基本方針と対策基準を作成するための作業手順ではありません。
- 対策基準は、基本方針で定めた目的を達成するために組織として実施すべき全体的なルールを記述するものです。
- 実施手順には、対策基準を実施する際の詳細な手順が定められます。したがって、対策基準よりも実施手順のほうが詳しく記述されます。