問題
情報セキュリティポリシーの3階層構成として正しいものはどれか。
選択肢
- 1ア 基本方針・対策基準・実施手順
- 2イ 目標・計画・結果
- 3ウ 規程・マニュアル・ガイド
- 4エ 戦略・戦術・実行
正解
1. ア 基本方針・対策基準・実施手順
詳しい解説を見る解説を閉じる
解説
正解はア。情報セキュリティポリシーは一般に3階層で構成される。最上位の「基本方針」は経営層が組織としてのセキュリティへの取組み姿勢や目的を宣言するもの、中位の「対策基準」は基本方針を実現するために遵守すべき具体的なルールを定めるもの、最下位の「実施手順」は対策基準を日常業務でどのように実行するかを示す手順書・マニュアルである。なお、狭義のポリシーは基本方針と対策基準の2階層を指す場合もある。イ・ウ・エはいずれも情報セキュリティポリシーの階層構成を表す用語ではない。基本情報では、「基本方針は経営層が策定して社外にも公開しうる」「実施手順は詳細な手順書で一般に非公開」といった各階層の役割・策定者の対応付けが頻出ポイントである。
一問一答
科目A 180問+科目B 60問