情報セキュリティポリシを、基本方針,対策基準,実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。
- ア. 基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- イ. 実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- ウ. 対策基準は, ISMS に準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
- エ. 対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
【答え】ア
【解説】
企業や組織が情報セキュリティの基本方針やルールを明文化した文書のことを情報セキュリティポリシーと呼びます。情報セキュリティポリシーは通常、次の3つの文書で構成されます。
| 名称 | 説明 | 内容 |
|---|---|---|
| 基本方針(経営者レベル) | 組織全体としての情報セキュリティに対する基本的な考え方や方針を示す。経営層が示す「意思表明」。 | ・「当社は情報資産を保護し、業務継続性を確保します」 ・「全社員はこの方針を理解し、遵守するものとします」など |
| 対策基準(管理部門) | 基本方針をもとに、具体的なセキュリティ対策のルールや基準を示す。 | ・アクセス制御を実施する ・ウイルス対策ソフトを導入する ・パスワードは8文字以上など |
| 実施手順(担当者) | 対策基準に従って、実際に何をどう行うかの手順やマニュアルを記載する。 | ・入退室記録の記入方法 ・PCの持ち出し申請手順 ・USBメモリの使用ルールなど |
各選択肢の解説
ア. 基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
→ ⭕ 基本方針は、経営者が組織の情報セキュリティに対する取り組み姿勢を示す文書であり、対策基準や実施手順の出発点となる。
イ. 実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
→実施手順は「何をどう実行するか(運用手順)」を記載するものであり、記録目的ではない。
ウ. 対策基準は, ISMS に準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
→対策基準はあくまで自社の具体的なセキュリティルールを示すもの。
エ. 対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
→事故対応の詳細は実施手順に記載される。対策基準はあくまで方針レベルのルールを示すもの。
以上より、正解はア.となります。
情報セキュリティ管理 
