情報セキュリティマネジメント平成30年秋期 午前問9
問9
IPA"中小企業の情報セキュリティ対策ガイドライン(第2.1版)"に記載されている,基本方針,対策基準,実施手順から成る組織の情報セキュリティポリシーに関する記述のうち,適切なものはどれか。
- 基本方針と対策基準は適用範囲を経営者とし,実施手順は適用範囲を経営者を除く従業員として策定してもよい。
- 組織の規模が小さい場合は,対策基準と実施手順を併せて1階層とし,基本方針を含めて2階層の文書構造として策定してもよい。
- 組織の取り扱う情報資産としてシステムソフトウェアが複数存在する場合は,その違いに応じて,複数の基本方針,対策基準及び実施手順を策定する。
- 初めに具体的な実施手順を策定し,次に実施手順の共通原則を対策基準としてまとめて,最後に,対策基準の運用に必要となる基本方針を策定する。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
情報セキュリティポリシーの、基本方針、対策基準、実施手順は次のようなものです。
https://www.ipa.go.jp/files/000055520.pdf
- 基本方針
- 情報セキュリティ対策に対する根本的な考え方を表すもので、組織が、どのような情報資産を、どのような脅威から、なぜ保護しなければならないのかを明らかにし、組織の情報セキュリティに対する取組姿勢を示すもの
- 対策基準
- 基本方針に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準、つまり基本方針を実現するために何をやらなければいけないかを示すもの
- 実施手順
- 対策基準に定められた内容を具体的な情報システム又は業務において、どのような手順に従って実行していくのかを示すもの
- 情報セキュリティの適用範囲は、経営者および全従業員です。
- 正しい。ガイドラインでは、中小企業などの規模の小さい組織を対象として、対策基準と実施手順とを1階層に簡素化したポリシーの策定を紹介しています。
- 扱う業務や管理する情報システムが多い組織では実施手順が複数になることもありますが、基本方針と対策基準は常に1つです。
- 情報セキュリティポリシーは、まず共通原則として基本方針を定め、対策基準、実施手順と追って具体化していきます。
https://www.ipa.go.jp/files/000055520.pdf