ITパスポート試験 ITパスポート 2015年 (平成27年 春期)47: 情報セキュリティ基本方針,又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており,企業や組織の情報セキュリティに関する取組みを包括的に規定した文

ITパスポート 2015年 (平成27年 春期)
Q 4747 / 84
情報セキュリティ基本方針,又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており,企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。
この問の正解率:77.06%(1,321件)

解説

ITパスポート 2015年 (平成27年 春期) 問47「情報セキュリティ基本方針,又は情報セキュリティ基本方針と情報セキュリティ対策基準…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約77%です。

正解

. 情報セキュリティポリシ

正答率 77.1%(1,321人中 1,018人が正解)

問題の解説

正答はア. 情報セキュリティポリシは, 情報セキュリティ基本方針 (経営方針・組織体制を示す最上位文書) と情報セキュリティ対策基準 (具体的なルール・手順を示す中位文書) で構成され, 企業や組織の情報セキュリティに関する取組みを包括的に規定した文書. 3階層構成では基本方針・対策基準・実施手順となり, ISMSの中心となる文書群. 類似用語=ISMS (情報セキュリティマネジメントシステム, 仕組み全体), ソーシャルエンジニアリング (人を介した攻撃), リスクアセスメント (リスク特定・評価) は別概念.

選択肢ごとの解説

  • 情報セキュリティ基本方針又は基本方針と対策基準で構成され, 企業や組織の情報セキュリティ取組みを包括的に規定した文書が情報セキュリティポリシそのもので問題文に完全合致する正答. 組織の方針文書として最上位に位置付け. 用語の定義と適用範囲を整理して覚える.
  • 情報セキュリティマネジメントシステム (ISMS) は情報セキュリティを継続的に管理する仕組み全体を指す概念で, ポリシ文書だけでなくPDCAサイクル・組織・運用も含む. 文書自体を指すポリシとは別概念で範囲が広い. 用語の定義と適用範囲を整理して覚える.
  • ソーシャルエンジニアリングは人間の心理や行動の隙を突いて情報を不正に入手する攻撃手法であり, セキュリティポリシ文書とは別概念. 攻撃技術の名称であり防御文書ではないため誤り. なりすまし等が典型例. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
  • リスクアセスメントは情報資産に対するリスクを特定・分析・評価する活動・プロセスであり, セキュリティポリシ文書とは別概念. プロセス・活動の名称であり方針文書ではないため誤り. ISMSの中心活動の一つ. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.

ITパスポート 2015年 (平成27年 春期) の過去問一覧に戻る・問47

ITパスポート試験 の iOS アプリ版

アプリ版なら、よりスムーズに動作し、
スワイプで問題遷移ができます。

ITパスポート試験 合格.dev を App Store でダウンロード