問題本文
情報セキュリティの基本方針に関する記述のうち,適切なものはどれか。
選択肢
- ア.機密情報の漏えいを防ぐために,経営上の機密事項とする。
- イ.情報セキュリティに対する組織の取組みを示すもので,経営層が承認する。
- ウ.情報セキュリティの対策基準に基づいて策定する。
- エ.パスワードの管理方法や文書の保存方法を具体的に規定する。
正解
イ. 情報セキュリティに対する組織の取組みを示すもので,経営層が承認する。
解説
情報セキュリティ方針は3層構成: ①基本方針=なぜ必要かを示し取組みを社内外に宣言、経営層が承認、公開推奨。②対策基準=基本方針を受けて実施内容を規定。③実施手順=具体的進め方(パスワード管理等)。基本方針は経営層の承認と社内外への宣言が要件。「経営機密扱い」「具体的規定を含む」「対策基準に基づき策定」はいずれも誤り。階層構造を理解し、基本方針の位置付けを正確に把握する。
選択肢ごとの解説
- ア.不正解。情報セキュリティ基本方針は社内外への宣言文書であり、社内外に公開して取組み姿勢を示すのが原則。経営機密扱いにすると組織外への姿勢表明ができず、方針の意義が失われる。
- イ.正解。基本方針は組織の取組みを示し、経営層が承認するのが要件。社内外への宣言として位置付けられ、ステークホルダーへの姿勢表明という役割を果たす。
- ウ.不正解。順序が逆。基本方針が最上位で、それを受けて対策基準が策定される。基本方針→対策基準→実施手順の階層構造を逆に書いている。
- エ.不正解。パスワード管理や文書保存の具体的規定は最下層の「実施手順」に書く内容。基本方針は理念・姿勢の宣言であり具体策は書かない方が望ましい。
ITパスポート 2011年 (平成23年 特別) の過去問一覧へ戻る・問63