問題本文
情報セキュリティポリシを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
選択肢
- ア.基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- イ.実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- ウ.対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
- エ.対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
正解
ア. 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
解説
情報セキュリティポリシは基本方針 (経営方針)・対策基準 (規程)・実施手順 (具体手順) の三層構造で構成.基本方針は経営陣のセキュリティ意思を示す最上位文書.
選択肢ごとの解説
- ア.正しい. 基本方針はトップマネジメントの意思を示す文書 (本問の正解選択肢).
- イ.実施手順は具体行動手順であり作業記録ではなく誤った記述であり該当しない.
- ウ.対策基準は ISMS 文書基準ではなく行動基準であり誤った記述であり該当しない.
- エ.対策基準は事故後対応ではなく平時の規程であり誤った記述であり該当しない.
ITパスポート 2022年 (令和4年) の過去問一覧へ戻る・問85