必ず受かる情報処理技術者試験

当サイトは、情報処理技術者試験に合格するためのWebサイトです。
ITパスポート試験,基本情報技術者,応用情報技術者,高度試験の過去問題と解答及び詳細な解説を掲載しています。
  1. トップページ
  2. ITパスポート
  3. 平成23年度秋季問題一覧
  4. 平成23年度秋季問題83-解答・解説-分析

平成23年度秋季問題

問題83

情報セキュリティ基本方針の説明として、適切なものはどれか。

一度決められた情報セキュリティ基本方針は、ビジネス環境や技術が変化しても変更すべきでない。
情報セキュリティに関する組織の取組み姿勢を示したものであり、組織のトップによって承認され、公表される。
セキュリティビジネスを拡大するための重点的な取組みについて、株主や一般に広く公開されるものである。
組織のセキュリティの考え方に基づいて、具体的なセキュリティ施策について述べたものである。

情報セキュリティ基本方針の説明として、適切なものはどれか。

一度決められた情報セキュリティ基本方針は、ビジネス環境や技術が変化しても変更すべきでない。
情報セキュリティに関する組織の取組み姿勢を示したものであり、組織のトップによって承認され、公表される。
セキュリティビジネスを拡大するための重点的な取組みについて、株主や一般に広く公開されるものである。
組織のセキュリティの考え方に基づいて、具体的なセキュリティ施策について述べたものである。

解答:イ

<解説>

情報セキュリティポリシは、基本方針,対策基準,実施手順の3つの階層で構成される。

基本方針
組織の経営者が、「情報セキュリティに本格的に取り組む」という姿勢を示し、情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社 内外に宣言するものである。「なぜセキュリティが必要か」という「Why」について規定し、何をどこまで守るのか(対象範囲)、誰が責任者かを明確にする。また、業界標準、該当する法令、政府規制への準拠を宣言する場合がある。
対策基準
基本方針で作成した目的を受けて、「何を実施しなければならないか」という「What」について記述する。組織的に情報セキュリティ対策を行うための ルール集で、人事規程や就業規程などの類の企業の構成員が守るべき「規程類」に相当する。実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確 にする。
実施手順
対策基準で定めた規程を実施する際に、「どのように実施するか」という「How」について記述する。マニュアル的な位置づけの文書であり、詳細な手順を記述する。
× 一度決められた情報セキュリティ基本方針は、ビジネス環境や技術の変化に対応して変更すべきである。
情報セキュリティに関する組織の取組み姿勢を示したものであり、組織のトップによって承認され、公表される。
× IR(Investor Relations)に関する説明である。
× 組織のセキュリティの考え方に基づいて、具体的なセキュリティ施策について述べたものは、対策基準である。