情報セキュリティポリシを、基本方針、対策基準及び実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。
ア 基本方針は、経営者が作成した対策基準や実施手順に従って、従業員が策定したものである。
イ 基本方針は、情報セキュリティ事故が発生した場合に、経営者が取るべき行動を記述したマニュアルのようなものである。
ウ 実施手順は、対策基準として決められたことを担当者が実施できるように、具体的な進め方などを記述したものである。
エ 対策基準は、基本方針や実施手順に何を記述すべきかを定めて、関係者に周知しておくものである。
解説を読む
正解:ウ
解説:
情報セキュリティポリシーは経営者が経営方針と情報セキュリティの整合性を取りながらトップダウンで基本方針→対策基準→実施手順の順で決定して行きます。
ア.基本方針を決定するのは経営者です。
イ.基本方針は事故発生時の対応ではなく情報セキュリティの方向性を示すものです。
ウ.正しい記述です。実施手順では対策基準で決定した内容を具体的に進める方法を記述します。
エ.基本方針に従い対策基準を決定するので対策基準に基本方針で何をすべきかを記述することはありません。
解説を閉じる
コメント