問題本文
情報セキュリティポリシに関する文書を、基本方針、対策基準及び実施手順の三つに分けたとき、これらに関する説明のうち、適切なものはどれか。
選択肢
- ア.経営層が立てた基本方針を基に、対策基準を策定する。
- イ.現場で実施している実施手順を基に、基本方針を策定する。
- ウ.現場で実施している実施手順を基に、対策基準を策定する。
- エ.組織で規定している対策基準を基に、基本方針を策定する。
正解
ア. 経営層が立てた基本方針を基に、対策基準を策定する。
解説
情報セキュリティポリシは上位から「基本方針(経営層が定める方針・宣言)」「対策基準(達成すべき具体ルール)」「実施手順(運用での具体的手順)」の3階層で構成される. 上位ほど抽象的・長期的,下位ほど具体的で運用寄り. 策定順は上位から下位へ進むのが原則で,経営層が基本方針を定め,それを受けて対策基準・実施手順が順次具体化される. 下から上への策定は方向性が逆で,トップダウン体系の原則に反する不適切な順序となる. 経営層の関与が情報セキュリティ統治(ガバナンス)の中核とされる仕組み. 上位から下位への策定順がガバナンス原則として徹底.
選択肢ごとの解説
- ア.正しい. 経営層が定めた基本方針に基づき対策基準を策定するのが原則の順序のため. 上位方針が下位ルールを規定するトップダウンの体系であり,情報セキュリティガバナンスの基本原則に合致する策定順. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- イ.誤り. 現場の実施手順から基本方針を策定するのは逆方向であり,情報セキュリティポリシの体系では基本方針が最上位として実施手順を規定する関係. 上位から下位への流れが原則であり,この順序は不適切. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- ウ.誤り. 実施手順から対策基準を策定するのも逆順. 対策基準は基本方針を受けて策定され,実施手順は対策基準を受けて作成される下流に位置するため,この順序では3階層構造のトップダウン原則に反する記述. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
- エ.誤り. 対策基準から基本方針を策定するのも原則に反する逆順. 基本方針が経営層の宣言として最上位に位置し,対策基準はそれを具体化する形で策定されるため,この順序は3階層構造の体系と矛盾する. この用語の正確な定義と他選択肢との明確な区別を押さえることが理解の要点
ITパスポート 2014年 (平成26年 春期) の過去問一覧へ戻る・問75