メインコンテンツへ
セキュリティ情報セキュリティ管理

組織の情報セキュリティポリシの構成に関する説明として、最も適切なものはどれか。

ア.セキュリティポリシは一つの文書で構成され、基本方針・対策基準・実施手順をすべて同一の文書に記載する
イ.セキュリティポリシは技術担当者向けに作成され、経営層が承認する必要はない
ウ.実施手順(プロシージャ)が最も抽象度が高く、変更頻度も最も低い
エ.基本方針(ポリシ)・対策基準(スタンダード)・実施手順(プロシージャ)の三階層で構成されることが多い正解

解説

セキュリティポリシは「法律・施行令・省令」の三層構造と同じ。「なぜやるか(基本方針)」→「何をやるか(対策基準)」→「どうやるか(実施手順)」と、上に行くほど抽象的で変わりにくく、下に行くほど具体的で変わりやすい。

なぜ エ が正解か

情報セキュリティポリシは一般的に三階層で構成されます。①基本方針(ポリシ):経営層が発行する組織全体の方向性・宣言。②対策基準(スタンダード):部門・システム別の具体的な遵守事項。③実施手順(プロシージャ):担当者が実際に行う操作手順。上位ほど変更頻度が低く、下位ほど技術変化に合わせて頻繁に更新されます。

なぜ ア は間違いか

一つの文書にすべてを詰め込むと、技術変化に伴い手順が変わるたびに全文書を改訂する必要が生じます。実際は変更頻度の違いに対応するために三階層に分けます。

なぜ イ は間違いか

基本方針は経営トップが承認・署名することで組織全体への拘束力と権威を持ちます。「経営層承認不要」は誤りです。セキュリティは経営課題です。

なぜ ウ は間違いか

最も抽象度が高く変更頻度が低いのは「基本方針(ポリシ)」です。実施手順(プロシージャ)は具体的な操作手順を示すため、技術変化に合わせて最も頻繁に更新されます。

出典: AI生成問題(学習用)