※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A. 基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。」です。
情報セキュリティポリシは、基本方針・対策基準・実施手順の三つの文書で体系化され、組織のセキュリティ管理を明確にします。
この記事では、ITパスポート試験(令和4年度)で出題された過去問の第31問「情報セキュリティポリシの文書構成」について、試験対策の観点からわかりやすく解説します。
情報セキュリティポリシの三層構造
情報セキュリティポリシ=基本方針(トップ意思) → 対策基準 → 実施手順
1. 基本方針:組織のトップマネジメントが情報セキュリティに関して示す基本的な方針。
2. 対策基準:基本方針を実現するための具体的な基準やルール。
3. 実施手順:対策基準に基づいた具体的な作業手順や手配方法。
他の選択肢との違い
- 実施手順は「策定作業の手順」ではなく、日常業務や対応手順を記述する
- 対策基準はISMS準拠の文書基準ではなく、セキュリティ対策のルールや具体基準を示す
- 情報セキュリティ事故対応は実施手順や別規程に基づき行うもので、対策基準の説明ではない
したがって、トップマネジメントの意思を示す基本方針が正解です。
問われているポイント
この問題では、情報セキュリティポリシの三つの文書の役割を正しく理解しているかが問われています。
特に基本方針が組織のトップの意思を示すことを押さえておくことが重要です。
気を付けてほしい点(勘違いしやすいポイント)
- 基本方針=理念・方針(トップの意思)
- 対策基準=具体的なルールや制約
- 実施手順=日常作業や運用手順の詳細
補足
ITパスポート試験では、三層構造の役割を整理して覚えておくことが効率的です。
ITパスポート試験での出題パターン
テクノロジ系では、情報セキュリティマネジメントの基礎として、ポリシ・基準・手順の役割や違いを問う問題が頻出です。
文書の階層構造と目的を理解しておくと解答しやすくなります。
この知識が使われている問題
まとめ
- 基本方針はトップマネジメントの意思を示す文書
- 対策基準は具体的なルールや基準を示す
- 実施手順は日常業務や対応作業の手順を記述する