セキュリティ
組織の情報セキュリティポリシの構成に関する説明として、最も適切なものはどれか。
ア.セキュリティポリシは一つの文書で構成され、基本方針・対策基準・実施手順をすべて同一の文書に記載する
イ.セキュリティポリシは技術担当者向けに作成され、経営層が承認する必要はない
ウ.実施手順(プロシージャ)が最も抽象度が高く、変更頻度も最も低い
エ.基本方針(ポリシ)・対策基準(スタンダード)・実施手順(プロシージャ)の三階層で構成されることが多い正解
解説
セキュリティポリシは「法律・施行令・省令」の三層構造と同じ。「なぜやるか(基本方針)」→「何をやるか(対策基準)」→「どうやるか(実施手順)」と、上に行くほど抽象的で変わりにくく、下に行くほど具体的で変わりやすい。
なぜ エ が正解か
情報セキュリティポリシは一般的に三階層で構成されます。①基本方針(ポリシ):経営層が発行する組織全体の方向性・宣言。②対策基準(スタンダード):部門・システム別の具体的な遵守事項。③実施手順(プロシージャ):担当者が実際に行う操作手順。上位ほど変更頻度が低く、下位ほど技術変化に合わせて頻繁に更新されます。
出典: AI生成問題(学習用)