問84

ITパスポート過去問令和1年度（2019年）問84

内外に宣言する最上位の情報セキュリティポリシに記載することとして，最も適切なものはどれか。

選択肢

正解：ア

あなたの回答：未回答

情報セキュリティポリシの最上位文書（基本方針）は、組織が情報セキュリティにどう取り組むかという基本的な考え方を、経営層の責任として内外に宣言するためのものです。一方、具体的な手順や個々の情報資産の特定、費用の詳細は、下位文書や管理文書、計画書などで扱うのが一般的です。

ア：正解: 最上位の情報セキュリティポリシは、組織としての基本方針を内外に示す文書です。したがって、経営陣が情報セキュリティに取り組む姿勢を記載するのが適切です。

ウ：不正解: 対策に掛ける費用は見直しが前提になりやすく、最上位ポリシに固定的に書くと運用と不整合が生じる可能性があります。最上位ポリシは金額ではなく、取り組みの基本方針を示します。

エ：不正解: 守る対象の情報資産を個々に列挙することは、資産台帳などの管理資料の役割です。最上位ポリシでは、個別の一覧ではなく適用範囲や保護の考え方を示すのが一般的です。

この問題は、情報セキュリティポリシの文書体系において、最上位文書に書くべき内容を区別できるかを確認するものです。基本方針（経営陣の姿勢など）と、基準・手順・台帳・計画といった下位の具体事項を切り分けて理解することが目的です。

この問題を解くには、情報セキュリティポリシ（最上位文書）と下位文書（基準・手順など）の役割分担の理解が必要です。

用語	意味
情報セキュリティポリシ	組織の情報セキュリティに関する目的・基本方針・適用範囲などを定める文書体系の総称です。最上位は経営の意思を示す文書として扱われます。
経営陣（経営者）のコミットメント	情報セキュリティを推進する立場として、方針の承認、体制づくり、必要な資源の用意、遵守の要求などを明確にすることです。

用語	意味
情報資産	価値があり保護が必要な情報、及びそれを扱う機器・媒体・ソフトウェア・サービスなどです。
手順書	作業を実施するための具体的な手順を定めた文書です。一般にポリシより下位の文書です。
セキュリティ対策費用	製品導入、運用、教育、監査などに必要なコストです。方針そのものではなく、計画・予算管理で扱われることが多いです。

選択肢	内容	最上位ポリシに適するか	理由
ア	経営陣が情報セキュリティに取り組む姿勢	適する	最上位は、組織としての基本方針や経営陣の責任・姿勢を内外に示すためです。
イ	情報資産を守るための具体的で詳細な手順	適さない	手順は、実施手順書などの下位文書で定めるのが一般的です。
ウ	セキュリティ対策に掛ける費用	適さない	費用は計画や予算管理で扱う内容で、方針として固定的に記載する対象になりにくいです。
エ	守る対象とする具体的な個々の情報資産	適さない	個々の情報資産は台帳などで管理し、最上位方針では列挙しないのが一般的です。

ア：正解: 最上位の情報セキュリティポリシは、組織としての基本方針を内外に示す文書です。したがって、経営陣が情報セキュリティに取り組む姿勢を記載するのが適切です。

ウ：不正解: 対策に掛ける費用は見直しが前提になりやすく、最上位ポリシに固定的に書くと運用と不整合が生じる可能性があります。最上位ポリシは金額ではなく、取り組みの基本方針を示します。

エ：不正解: 守る対象の情報資産を個々に列挙することは、資産台帳などの管理資料の役割です。最上位ポリシでは、個別の一覧ではなく適用範囲や保護の考え方を示すのが一般的です。

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

テクノロジ系 > 技術要素 > セキュリティ

順次、単語を追加予定です。もうしばらくお待ちください。