情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度秋期 午前 問9: IPA“中小企業の情報セキュリティ対策ガイドライン(第 2.1 版)”に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する
←情報セキュリティマネジメント試験 平成30年度秋期 午前
IPA“中小企業の情報セキュリティ対策ガイドライン(第 2.1 版)”に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する記述のうち,適切なものはどれか。
問題本文
IPA“中小企業の情報セキュリティ対策ガイドライン(第 2.1 版)”に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する記述のうち,適切なものはどれか。
選択肢
- ア.基本方針と対策基準は適用範囲を経営者とし,実施手順は適用範囲を経営者を除く従業員として策定してもよい。
- イ.組織の規模が小さい場合は,対策基準と実施手順を併せて 1 階層とし,基本方針を含めて 2 階層の文書構造として策定してもよい。
- ウ.組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は,その違いに応じて,複数の基本方針,対策基準及び実施手順を策定する。
- エ.初めに具体的な実施手順を策定し,次に実施手順の共通原則を対策基準としてまとめて,最後に,対策基準の運用に必要となる基本方針を策定する。
正解
イ. 組織の規模が小さい場合は,対策基準と実施手順を併せて 1 階層とし,基本方針を含めて 2 階層の文書構造として策定してもよい。
解説
本問は情報セキュリティポリシの3階層構造(基本方針・対策基準・実施手順)の扱いを問うている。組織の実情に応じて構造は柔軟でよく、規模が小さい場合は対策基準と実施手順をまとめて1階層とし、基本方針と合わせて2階層構造とすることもできるため、正解はイである。
選択肢ごとの解説
- ア.誤り。基本方針や対策基準は組織全体・全従業員を適用範囲とするのが通常であり、経営者のみを適用範囲とするのは適切でない。
- イ.正しい。小規模組織では対策基準と実施手順を1階層にまとめ、基本方針を含めた2階層構造としてもよい。
- ウ.誤り。基本方針は組織全体で1つ定めるものであり、システムソフトウェアごとに複数の基本方針を策定するわけではない。
- エ.誤り。策定は組織の意思を示す基本方針を最上位として定め、それに従い対策基準・実施手順を具体化する順序が基本である。
情報セキュリティマネジメント試験 平成30年度秋期 午前 の過去問一覧へ戻る・問9