ITパスポート過去問 令和6年度(2024年)問94
企業において情報セキュリティポリシー策定で行う作業のうち,次の作業の実施順序として,適切なものはどれか。
- a 策定する責任者や担当者を決定する。
- b 情報セキュリティ対策の基本方針を策定する。
- c 保有する情報資産を洗い出し,分類する。
- d リスクを分析する。
選択肢
- ア:a→b→c→d
- イ:a→b→d→c
- ウ:b→a→c→d
- エ:b→a→d→c
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティポリシー策定は、最初に責任者や担当者を決めて作業の体制を整えます。次に、組織としての情報セキュリティ対策の基本方針を策定します。その後、保有する情報資産を洗い出して分類し、最後に分類した情報資産を対象としてリスクを分析します。したがって、a→b→c→dの順序が適切です。
Point
この問題は、情報セキュリティポリシーを策定するときに、作業の前提関係を踏まえて手順を並べられるかを確認しています。特に、誰が進めるかの体制決定、方針決定、守る対象の特定、対象に対するリスク分析の順で進む点を理解しているかが問われます。
解くために必要な知識
この問題を解くには、情報セキュリティポリシー策定の一般的な作業の流れと、各作業の前提関係を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| 情報セキュリティポリシー | 組織が情報セキュリティに関して守るべきルールや方針をまとめた文書の総称です。 |
| 情報資産 | 組織が保有する情報、および情報を扱う機器・設備・システムなどの総称です。 |
| リスク分析 | 情報資産に対する脅威や脆弱性を特定し、リスクの大きさを評価する作業です。 |
判断ポイントの整理
情報セキュリティポリシーの策定は、作業の結果が次の作業の材料になる順に進めるのが原則です。
作業の前提関係
| 順序 | 作業内容 | その作業を先に行う理由 |
|---|---|---|
| 1 | a 策定する責任者や担当者を決定する | 作業の意思決定者と取りまとめ役が決まらないと、方針や手順を確定しにくいためです。 |
| 2 | b 情報セキュリティ対策の基本方針を策定する | 何をどの程度守るかの方向性が、以降の作業の基準になるためです。 |
| 3 | c 保有する情報資産を洗い出し,分類する | 守る対象を明確にしないと、どの資産にどんなリスクがあるかを評価しにくいためです。 |
| 4 | d リスクを分析する | cで洗い出した資産ごとに脅威・脆弱性を確認し、リスクの大きさを評価するためです。 |
問題の解法手順
作業の前提関係に着目して順序を決めます。
手順を決めるための考え方
-
実施主体(責任者・担当者)が決まらないと、方針策定や調査作業を組織として進めにくいです。
-
リスク分析は、分析対象となる情報資産が特定・分類されてから実施します。
各選択肢の整理
| 選択肢 | 順序 | 判定理由 |
|---|---|---|
| ア | a→b→c→d | 責任者決定後に方針を定め、守る対象を確定してからリスク分析を行う順序です。 |
| イ | a→b→d→c | 情報資産の洗い出し・分類より先にリスク分析を行っており、対象が不明確になりやすい順序です。 |
| ウ | b→a→c→d | 責任者・担当者の決定より先に基本方針を策定しており、作業の進め方として不適切になりやすい順序です。 |
| エ | b→a→d→c | bとaが逆であり、さらにdとcも逆です。 |
選択肢ごとの解説
- ア:正解
「a」で体制を決め、「b」で基本方針を定め、「c」で情報資産を洗い出して分類し、最後に「d」でリスクを分析します。リスク分析は対象となる情報資産が決まってから行う必要があります。
- イ:不正解
「d」のリスク分析は、「c」の情報資産の洗い出しと分類が終わっていないと、分析対象が定まらず実施しにくいです。
- ウ:不正解
「b」を策定して組織として進めるには、通常「a」で責任者や担当者を先に決めて体制を整える必要があるため不正解です。
- エ:不正解
「a」が「b」の後になっており体制整備の順序として不自然です。また、「c」が「d」の後になっているため、分析対象が定まらないままリスク分析を行う形になります。
まとめ
情報セキュリティポリシー策定は、最初に責任者や担当者を決めて作業の体制を整えます。次に、組織としての情報セキュリティ対策の基本方針を策定します。その後、保有する情報資産を洗い出して分類し、最後に分類した情報資産を対象としてリスクを分析します。したがって、a→b→c→dの順序が適切です。
テクノロジ系 > 技術要素 > セキュリティ
「a」で体制を決め、「b」で基本方針を定め、「c」で情報資産を洗い出して分類し、最後に「d」でリスクを分析します。リスク分析は対象となる情報資産が決まってから行う必要があります。
「d」のリスク分析は、「c」の情報資産の洗い出しと分類が終わっていないと、分析対象が定まらず実施しにくいです。
「b」を策定して組織として進めるには、通常「a」で責任者や担当者を先に決めて体制を整える必要があるため不正解です。
「a」が「b」の後になっており体制整備の順序として不自然です。また、「c」が「d」の後になっているため、分析対象が定まらないままリスク分析を行う形になります。