IPA“中小企業の情報セキュリティ対策ガイドライン(第2.1版)”に記載されている、基本方針、対策基準、実施手順の情報セキュリティポリシーに関する記述のうち、適切なものはどれか。
ア | 基本方針と対策基準は適用範囲を経営者とし、実施手順は適用範囲を経営者を除く従業員として策定してもよい。 |
イ | 組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定してもよい。 |
ウ | 組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は、その違いに応じて、複数の基本方針、対策基準及び実施手順を策定する。 |
エ | 初めて具体的な実施手順を策定し、次に実施手順の共通原則を対策基準としてまとめて、最後に、査対策基準の運用に必要となる基本方針を策定する。 |
答え イ
【解説】
ア | 情報セキュリティポリシーの基本方針、対策基準、実施手順の適用範囲は経営者と従業員の双方になります。(×) |
イ | 組織の規模が小さい場合は、対策基準と実施手順を併せて1階層とし、基本方針を含めて2階層の文書構造として策定しても問題ありません。(〇) |
ウ | 情報資産としてシステムソフトウェアが複数存在する場合も、基本方針、対策基準及び実施手順は1つにします。(×) |
エ | 情報セキュリティポリシーの策定は基本方針、対策基準、実施手順の順に行います。(×) |
【キーワード】
・情報セキュリティポリシー