ITパスポート試験 過去問解説
情報セキュリティポリシとは?ITパスポート試験 2014年 (平成26年 秋期) 問61を解説
ITパスポート試験 2014年 (平成26年 秋期) 問61は、情報セキュリティポリシに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- 情報セキュリティポリシの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: 情報セキュリティポリシ。
選択肢
- ア情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
- イ情報セキュリティ基本方針だけでなく,情報セキュリティに関する規則や手順も社外に公開することが求められている。
- ウ情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが,最上位の情報セキュリティ基本方針は業界標準の雛形をそのまま採用することが求められている。
- エ組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。正解
正解
エ: 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである。
解説
なぜ他の選択肢が違うのか
ア
誤り. 情報セキュリティ基本方針は経営者が承認するが,規則や手順までも経営者自身が策定するわけではない. 現場担当部門や情報セキュリティ責任者・管理者が実施手順を整備し,経営者が承認する形が一般的である. 「経営者が全て策定」は実態にも合わず,組織運営上も非現実的なため不適切となる.
イ
誤り. 情報セキュリティ基本方針は社外に公開して組織の姿勢を示すことが一般的だが,規則や手順は対策の詳細を含むため社外公開しないのが通例である. 公開すると攻撃者にヒントを与えるリスクもあるため,規則・手順までの公開を求めるという記述は適切ではない.
ウ
誤り. 情報セキュリティ基本方針は組織の実態・事業内容・リスク認識を反映して策定すべきもので,業界標準の雛形をそのまま採用するのは適切ではない. 雛形を参考にしつつ,自組織の固有事情を踏まえてカスタマイズするのが現実的かつ実効的である. そのまま採用は実態に合わない.
エ(正解)
正解. 組織内の複数部門で異なる情報セキュリティ対策を実施する場合でも,情報セキュリティ基本方針は組織全体で統一させるべきである. 基本方針は経営者が承認する最上位文書であり,組織全体で一貫した姿勢を示すことが情報セキュリティガバナンスの根幹となる. 対策の差は許容しつつ方針は一本化.
解き方の整理
情報セキュリティポリシの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
2014年 (平成26年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。