分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

情報セキュリティポリシーは下記のように、基本方針、対策基準、実施手順の3階層で構成されることが一般的ですが、本問では"最上位の"情報セキュリティポリシーとしているので、一番上の基本方針の記載事項について問うていると考えられます。情報セキュリティポリシーの最上位に位置する文書は、組織の経営者が最終的な責任者となり「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と適用範囲、その目標を達成するために企業がとるべき行動を社内外に宣言するものです。

したがって「ア」の内容が適切です。

• 正しい。情報セキュリティポリシーに記載することです。
• 詳細な手順については個々の実施手順・運用規則・マニュアルなどに記載します。上記の3階層の中では実施手順に記載することです。
• セキュリティ対策に掛ける費用はIT関連予算内に記載します。
• 守るべき個々の情報資産については情報資産管理台帳に記載します。