ITパスポート過去問 平成31年度(2019年)問85
情報セキュリティポリシを,基本方針,対策基準及び実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
選択肢
- ア:基本方針は,経営者が作成した対策基準や実施手順に従って,従業員が策定したものである。
- イ:基本方針は,情報セキュリティ事故が発生した場合に,経営者が取るべき行動を記述したマニュアルのようなものである。
- ウ:実施手順は,対策基準として決められたことを担当者が実施できるように,具体的な進め方などを記述したものである。
- エ:対策基準は,基本方針や実施手順に何を記述すべきかを定めて,関係者に周知しておくものである。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティポリシを3文書で構成する場合、基本方針は組織としての方向性を示す最上位文書、対策基準は守るべきルール、実施手順は対策基準を現場で実行できるように具体化した手順書です。対策基準で定めた内容を担当者が実施できるように具体的な進め方を記述する「ウ」が適切です。
Point
この問題は、情報セキュリティポリシを構成する基本方針・対策基準・実施手順について、文書の役割と文書間の関係(上位から下位へ具体化する流れ)を区別できるかを確認するものです。
解くために必要な知識
この問題を解くには、情報セキュリティポリシの文書体系(基本方針・対策基準・実施手順)の役割と関係を理解している必要があります。
用語の整理
| 用語 | 内容 |
|---|---|
| 情報セキュリティポリシ | 組織の情報セキュリティに関する考え方、守るべきルール、運用方法を文書化したものです。 |
| 基本方針 | 情報セキュリティの目的、基本的な考え方、適用範囲、責任など、組織としての方向性を示す最上位の文書です。 |
| 対策基準 | 基本方針を実現するために、組織として守るべき具体的なルールや遵守事項を定める文書です。 |
| 実施手順 | 対策基準で定めたルールを、担当者が実務で実行できるように、作業の手順や方法を具体的に記述した文書です。 |
判断ポイントの整理
抽象度の順序で整理します
基本方針(方向性)→対策基準(ルール)→実施手順(やり方)です。
文書の使われ方で整理します
-
基本方針は、組織としての方針を示し、全体へ周知するために用いられます。
-
対策基準は、組織内で共通に守るルールを統一するために用いられます。
-
実施手順は、担当者が迷わず実行できるように具体的な作業内容を示すために用いられます。
問題の解法手順
問題の注目点は、3文書の役割が上位から下位へ具体化していく点です。
解く手順
1. 3文書の関係を抽象度で整理します
基本方針(方向性)→対策基準(ルール)→実施手順(具体的な作業)です。
2. 選択肢がどの文書の説明かを照合します
| 選択肢 | 述べている内容 | 照合結果 |
|---|---|---|
| ア | 基本方針を従業員が策定し、対策基準・実施手順を経営者が作成 | 基本方針は最上位であり、上下関係の説明が合いません。 |
| イ | 基本方針が事故対応マニュアルのようなもの | 事故対応は実施手順や別手順書で扱う内容で、基本方針の説明として合いません。 |
| ウ | 実施手順が対策基準を具体化し、担当者が実行できるようにする | 文書の役割に合います。 |
| エ | 対策基準が基本方針や実施手順に何を書くかを定める | 対策基準は遵守事項を定める文書であり、説明が合いません。 |
選択肢ごとの解説
- ア:不正解
基本方針は情報セキュリティに関する最上位の文書であり、対策基準や実施手順は基本方針を受けて具体化されます。そのため、基本方針が対策基準や実施手順に従うという説明は、文書の関係として合いません。
- イ:不正解
基本方針は、事故発生時の具体的な行動手順を中心に記述する文書ではありません。事故対応の具体的内容は、インシデント対応手順や事故対応マニュアルなどの手順書として整備するのが一般的です。
- ウ:正解
実施手順は、対策基準で定めたルールを担当者が実行できるように、具体的な進め方や作業手順を記述する文書です。対策基準を現場で実行できる形にする説明として適切です。
- エ:不正解
対策基準は、基本方針を実現するために守るべきルールや遵守事項を定める文書です。基本方針や実施手順に何を記述すべきかを定める説明は、対策基準そのものの役割としては合いません。
まとめ
情報セキュリティポリシを3文書で構成する場合、基本方針は組織としての方向性を示す最上位文書、対策基準は守るべきルール、実施手順は対策基準を現場で実行できるように具体化した手順書です。対策基準で定めた内容を担当者が実施できるように具体的な進め方を記述する「ウ」が適切です。
テクノロジ系 > 技術要素 > セキュリティ
基本方針は情報セキュリティに関する最上位の文書であり、対策基準や実施手順は基本方針を受けて具体化されます。そのため、基本方針が対策基準や実施手順に従うという説明は、文書の関係として合いません。
基本方針は、事故発生時の具体的な行動手順を中心に記述する文書ではありません。事故対応の具体的内容は、インシデント対応手順や事故対応マニュアルなどの手順書として整備するのが一般的です。
実施手順は、対策基準で定めたルールを担当者が実行できるように、具体的な進め方や作業手順を記述する文書です。対策基準を現場で実行できる形にする説明として適切です。
対策基準は、基本方針を実現するために守るべきルールや遵守事項を定める文書です。基本方針や実施手順に何を記述すべきかを定める説明は、対策基準そのものの役割としては合いません。