情報セキュリティマネジメント試験 過去問解説
実施手順から成る組織の情報セキュリティポリシとは?情報セキュリティマネジメント試験 平成30年度秋期 午前 問9を解説
情報セキュリティマネジメント試験 平成30年度秋期 午前 問9は、実施手順から成る組織の情報セキュリティポリシに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
IPA“中小企業の情報セキュリティ対策ガイドライン(第 2.1 版)”に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する記述のうち,適切なものはどれか。
この問題の出題ポイント
- 実施手順から成る組織の情報セキュリティポリシの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア基本方針と対策基準は適用範囲を経営者とし,実施手順は適用範囲を経営者を除く従業員として策定してもよい。
- イ組織の規模が小さい場合は,対策基準と実施手順を併せて 1 階層とし,基本方針を含めて 2 階層の文書構造として策定してもよい。正解
- ウ組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は,その違いに応じて,複数の基本方針,対策基準及び実施手順を策定する。
- エ初めに具体的な実施手順を策定し,次に実施手順の共通原則を対策基準としてまとめて,最後に,対策基準の運用に必要となる基本方針を策定する。
正解
イ: 組織の規模が小さい場合は,対策基準と実施手順を併せて 1 階層とし,基本方針を含めて 2 階層の文書構造として策定してもよい。
解説
本問は情報セキュリティポリシの3階層構造(基本方針・対策基準・実施手順)の扱いを問うている。組織の実情に応じて構造は柔軟でよく、規模が小さい場合は対策基準と実施手順をまとめて1階層とし、基本方針と合わせて2階層構造とすることもできるため、正解はイである。
なぜ他の選択肢が違うのか
ア
誤り。基本方針や対策基準は組織全体・全従業員を適用範囲とするのが通常であり、経営者のみを適用範囲とするのは適切でない。
イ(正解)
正しい。小規模組織では対策基準と実施手順を1階層にまとめ、基本方針を含めた2階層構造としてもよい。
ウ
誤り。基本方針は組織全体で1つ定めるものであり、システムソフトウェアごとに複数の基本方針を策定するわけではない。
エ
誤り。策定は組織の意思を示す基本方針を最上位として定め、それに従い対策基準・実施手順を具体化する順序が基本である。
解き方の整理
実施手順から成る組織の情報セキュリティポリシの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。