問題本文
情報セキュリティ基本方針,又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており,企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。
選択肢
- ア.情報セキュリティポリシ
- イ.情報セキュリティマネジメントシステム
- ウ.ソーシャルエンジニアリング
- エ.リスクアセスメント
解説
正答はア. 情報セキュリティポリシは, 情報セキュリティ基本方針 (経営方針・組織体制を示す最上位文書) と情報セキュリティ対策基準 (具体的なルール・手順を示す中位文書) で構成され, 企業や組織の情報セキュリティに関する取組みを包括的に規定した文書. 3階層構成では基本方針・対策基準・実施手順となり, ISMSの中心となる文書群. 類似用語=ISMS (情報セキュリティマネジメントシステム, 仕組み全体), ソーシャルエンジニアリング (人を介した攻撃), リスクアセスメント (リスク特定・評価) は別概念.
選択肢ごとの解説
- ア.情報セキュリティ基本方針又は基本方針と対策基準で構成され, 企業や組織の情報セキュリティ取組みを包括的に規定した文書が情報セキュリティポリシそのもので問題文に完全合致する正答. 組織の方針文書として最上位に位置付け. 用語の定義と適用範囲を整理して覚える.
- イ.情報セキュリティマネジメントシステム (ISMS) は情報セキュリティを継続的に管理する仕組み全体を指す概念で, ポリシ文書だけでなくPDCAサイクル・組織・運用も含む. 文書自体を指すポリシとは別概念で範囲が広い. 用語の定義と適用範囲を整理して覚える.
- ウ.ソーシャルエンジニアリングは人間の心理や行動の隙を突いて情報を不正に入手する攻撃手法であり, セキュリティポリシ文書とは別概念. 攻撃技術の名称であり防御文書ではないため誤り. なりすまし等が典型例. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
- エ.リスクアセスメントは情報資産に対するリスクを特定・分析・評価する活動・プロセスであり, セキュリティポリシ文書とは別概念. プロセス・活動の名称であり方針文書ではないため誤り. ISMSの中心活動の一つ. 用語や概念の取り違いに注意. 確実に理解しておくべき頻出概念である.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問47