令和6年試験問題 問94

企業において情報セキュリティポリシー策定で行う作業のうち,次の作業の実施順序として,適切なものはどれか。

  1. 策定する責任者や担当者を決定する。
  2. 情報セキュリティ対策の基本方針を策定する。
  3. 保有する情報資産を洗い出し,分類する。
  4. リスクを分析する。

  • a → b → c → d
  • a → b → d → c
  • b → a → c → d
  • b → a → d → c
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
情報セキュリティポリシーは、企業や組織の情報セキュリティの目標と、その目標を達成するために企業・組織がとるべき行動を社内外に宣言する文書です。総務省"国民のためのサイバーセキュリティサイト"によれば、情報セキュリティポリシーの代表的な策定手順は次のとおりです。
  1. 策定の組織決定(責任者、担当者の選出)
  2. 目的、情報資産の対象範囲、期間、役割分担などの決定
  3. 策定スケジュールの決定
  4. 基本方針の策定
  5. 情報資産の洗い出し、リスク分析とその対策
  6. 対策基準と実施内容の策定
これに照らして考えると、まず行うべきは策定のための組織を決定することなので「a.策定する責任者や担当者を決定する」、次に行うのは基本方針の決定なので「b.情報セキュリティ対策の基本方針を策定する」、そして情報資産の洗い出し、リスク分析とその対応と続くので「c.保有する情報資産を洗い出し,分類する」、「d.リスクを分析する」という順序が適切です。

したがって、a → b → c → d となる「ア」が正解となります。

Pagetop