問題本文
情報セキュリティポリシを,基本方針,対策基準及び実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
選択肢
- ア.基本方針は,経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。
- イ.基本方針は,情報セキュリティ事故が発生した場合に,経営者が取るべき行動を記述したマニュアルのようなものである。
- ウ.実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。
- エ.対策基準は,基本方針や実施手順に何を記述すべきかを定めて,関係者に周知しておくものである。
正解
ウ. 実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。
解説
情報セキュリティポリシは基本方針 (なぜ守るか)→対策基準 (何を守るか)→実施手順 (どう守るか) の三層構成.実施手順は対策基準を具体化する文書.
選択肢ごとの解説
- ア.基本方針は経営者が策定する最上位文書で順序が逆.
- イ.基本方針は事故対応マニュアルではなく組織方針.
- ウ.正しい.実施手順は対策基準を担当者が実施できるよう具体化.
- エ.対策基準は遵守事項を定め他文書の構成を定めない.
ITパスポート 2019年 (平成31年 春期) の過去問一覧へ戻る・問85