2022年 ITパスポート午前問85

情報セキュリティポリシーを、基本方針、対策基準、実施手順の三つの文書で構成したとき、これらに関する説明のうち適切なものはどれか。

　ア

　基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。

　イ

　実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。

　ウ

　対策基準は、ISMSに準拠した情報セキュリティポリシーを作成するための文書の基準を示したものである。

　エ

　対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりもくわしく記述したものである。

答え　ア

【解説】
情報セキュリティポリシーを、基本方針、対策基準、実施手順の内容は

基本方針
組織や企業の代表者による「なぜ情報セキュリティが必要であるのか」や「どのような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」といった宣言が含まれます。
対策基準
実際に情報セキュリティ対策の指針を記述します。多くの場合、対策基準にはどのような対策を行うのかという一般的な規定のみを記述します。
実施手順
それぞれの対策基準ごとに、実施すべき情報セキュリティ対策の内容を具体的に手順として記載します。

になります。

【キーワード】
・情報セキュリティポリシー

キーワードの解説

情報セキュリティポリシー
企業などの法人(団体)において、秘密情報や個人情報などの管理や、コンピュータウイルスやサイバー攻撃(サイバーテロ、クラッキング)などのリスク管理についてまとめた、規範のことです。

2022年 ITパスポート 午前 問85