情報セキュリティマネジメント平成30年秋期 午前問9
午前問9
IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシに関する記述のうち,適切なものはどれか。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
情報セキュリティポリシの、基本方針、対策基準、実施手順は次のようなものです。
https://www.ipa.go.jp/files/000055520.pdf
- 基本方針
- 情報セキュリティ対策に対する根本的な考え方を表すもので、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組姿勢を示すもの
- 対策基準
- 基本方針に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準、つまり基本方針を実現するために何をやらなければいけないかを示すもの
- 実施手順
- 対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの

- 情報セキュリティの適用範囲は、経営者および全従業員です。
- 正しい。ガイドラインでは、中小企業などの規模の小さい組織を対象として、対策基準と実施手順とを1階層に簡素化したポリシの策定を紹介しています。
- 扱う業務や管理する情報システムが多い組織では実施手順が複数になることもありますが、基本方針と対策基準は常に1つです。
- 情報セキュリティポリシは、まず共通原則として基本方針を定め、対策基準、実施手順と追って具体化していきます。
https://www.ipa.go.jp/files/000055520.pdf