平成31年春期試験問題 問85

情報セキュリティポリシーを,基本方針,対策基準及び実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。

  • 基本方針は,経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。
  • 基本方針は,情報セキュリティ事故が発生した場合に,経営者が取るべき行動を記述したマニュアルのようなものである。
  • 実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。
  • 対策基準は,基本方針や実施手順に何を記述すべきかを定めて,関係者に周知しておくものである。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
IPA「情報処理推進機構」が公開している「情報セキュリティポリシーの策定」に基づくと、情報セキュリティポリシーは、基本方針(ポリシー),対策基準(スタンダード),実施手順(プロシージャー)の3階層の文書構成をとるのが一般的であるとされています。
85.png
基本方針
組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するもの。
対策基準
基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述したもの。組織的に情報セキュリティ対策を行うためのルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当する。
実施手順
対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述したもの。マニュアル的な位置づけの文書であり、詳細な手順を記述する。
情報セキュリティポリシーは「基本方針→対策基準→実施手順」の順で策定します。
  • 基本方針は、情報セキュリティポリシーの根幹となる文書で経営者が初めに策定します。
  • 詳細な対処手順は実施手順に定めます。
  • 正しい。実施基準には、対策基準で定めたことを実現するために必要な個々の手順を定めます。
  • 関係者に周知すべき文書は基本方針のみです。

Pagetop