ITパスポート試験 過去問解説
情報セキュリティポリシとは?ITパスポート試験 2010年 (平成22年 秋期) 問76を解説
ITパスポート試験 2010年 (平成22年 秋期) 問76は、情報セキュリティポリシに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
情報セキュリティポリシに関する考え方のうち、適切なものはどれか。
この問題の出題ポイント
- 情報セキュリティポリシの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- マネジメント系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: 情報セキュリティポリシ。
選択肢
- アいかなる情報資産に対しても、実施する対策の費用は同一であることが望ましい。
- イ情報セキュリティポリシの構成要素の最上位にある情報セキュリティ基本方針は、経営者を始めとした幹部だけに開示すべきである。
- ウ情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業者とすべきである。正解
- エ情報セキュリティポリシを初めて作成する場合は、同業他社のポリシをサンプルとして、できるだけそのまま利用することが望ましい。
正解
ウ: 情報セキュリティポリシの適用対象としては、社員だけでなく、パートなども含めた全従業者とすべきである。
解説
情報セキュリティポリシは「基本方針→対策基準→実施手順」の3層構成で、対策費用は資産価値・リスクに応じて差をつけるのが原則(重要資産には厚く、軽微資産には薄く).基本方針は積極的に社外公開する.作成時は自社の事業内容・組織特性・情報資産の特徴を考慮することが重要で、他社サンプルそのまま流用は不適切.適用対象は社員・パート・派遣・委託先まで全従業者を含める.「対象拡大」「方針公開」「自社特性反映」が原則.
なぜ他の選択肢が違うのか
ア
対策費用は資産の重要性・リスク評価に応じて差をつけるのが原則.全ての資産に同一費用は非効率(過剰投資or不足)で、リスクベース・アプローチに反するため不適切.
イ
情報セキュリティ基本方針は社内外に対し積極的に公開すべきもの.取引先や顧客への信頼性アピールにもなり、幹部限定開示は方針の意義と矛盾するため不適切.
ウ(正解)
正解.セキュリティポリシは社員だけでなくパート・アルバイト・派遣・委託先など全従業者を適用対象とすべき.漏れがあると守りに穴ができるため対象範囲は広く取る.
エ
他社ポリシをそのまま流用するのは自社の事業内容・特性を反映できず不適切.参考にしつつも自社向けにカスタマイズして策定するのが正しいアプローチ.
解き方の整理
情報セキュリティポリシの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
2010年 (平成22年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。