情報セキュリティポリシーに関する文書を、基本方針、対策基準及び実施手順の三つに分けたとき、これらに関する説明のうち、適切なものはどれか。
ア | 経営層が立てた基本方針を基に、対策基準を策定する。 |
イ | 現場で実施している実施手順を基に、基本方針を策定する。 |
ウ | 現場で実施している実施手順を基に、対策基準を策定する。 |
エ | 組織で規定している対策基準を基に、基本方針を策定する。 |
答え ア
【解説】
情報セキュリティポリシーの基本方針はあるべき姿を目指すためのものなので、基本方針は企業の経営陣が作成し、それを基に情報セキュリティの担当部署で対策基準をまとめ、さらにその基準から実施手順を作成します。
【キーワード】
・情報セキュリティポリシー