ITパスポートの過去問
令和元年度 秋期
テクノロジ系 問84

情報セキュリティポリシとは、一般的に「基本方針」、「対策基準」、「実施手順」の3階層に分けて策定されます。その中で、最上位となるのが基本方針で、主に組織の経営陣が、情報セキュリティに対する方針などを宣言する内容となっています。

したがって、1が正解です。

「基本方針」：経営陣が情報セキュリティに取り組む姿勢、宣言が含まれるものです。
「対策基準」：基本方針を元に、具体的なルール（基準）を定めたものです。
「実施手順」：基本方針を元に、対策基準ごとの具体的な手順を明記したものです。

情報セキュリティポリシの最上位にあるのは、基本方針になります。基本方針は組織や企業の経営者が策定し、内外に周知するものとなります。
組織としての情報セキュリティ対策の方針や必要性、考え方などを宣言します。

１．情報セキュリティポリシに記載する内容ですので、正解です。

２．情報資産を守るための具体的で詳細な手順は、情報セキュリティポリシの実施手順に記載する内容ですので、誤りです。

３．セキュリティ対策に掛ける費用は基本方針とは関係ありませんので、誤りです。

４．具体的な個々の情報資産は、管理台帳にまとめるものになり、基本方針とは関係ありませんので、誤りです。

内外に宣言する最上位の情報セキュリティポリシには、情報セキュリティに対する経営者の姿勢を記載します。

情報セキュリティポリシは、上位から基本方針、対策基準、実施手順の３層で構成され、それそれの意味は以下の通りです。

　基本方針・・・情報セキュリティの目標の作成と経営者の意思表示

　対策基準・・・基本方針に従うための規定

　実施手順・・・対策基準の具体的な実施手順

１．正解です。

２．不正解です。実施手順の内容です。

３．不正解です。IT関連予算の内容です。

４．不正解です。資産台帳の内容です。