企業活動において、情報セキュリティ面の安全確保のための取り決めを情報セキュリティポリシーと言います。
これは次の3階層に分けられます。
基本方針
企業として、どのように情報セキュリティ対策に努めるのかを明確にし、クライアントにも個人情報の取り扱い方針などを開示します。
対策基準
インシデント予防のため、どのような対策を務めるのかを記述します。
考えうるリスクとそれに対する対策を規定とする場合がほとんどです。
これは基本方針に準拠します。
(準拠するものがISMSとなっているので、3は間違いです)
実施手順
対策基準で規定したインシデント対策について、順を追ってより具体的に説明します。
(記録は後で作成するものなので、2は間違いです)
(対策基準を具体的にしたものが実施手順なので、4は間違いです)
1が正解です。
情報セキュリティポリシーとは、企業などが実施する情報セキュリティに対する方針・行動指針です。
「基本方針」、「対策基準」、「実施手順」三段階に分けて表現されており、それぞれ以下のような内容が記載されています。
「基本方針」 情報セキュリティに対する基本的な考えを表したものです。その組織の経営者が宣言します。
「対策基準」 情報セキュリティに対する対策項目・ルールをまとめたものです。
「実施手順」 対策基準の内容をどのような手順で実施するのかをまとめた、マニュアルに該当するものです。
1の解説)正解です。
2の解説)実施手順は、基本方針と対策基準を実行するために作るマニュアルに該当するものです。
3の解説)対策基準は対策項目・ルールをまとめたものです。
4の解説)実施手順は基本方針と対策基準の内容をより詳しく記述したものなので、対策基準よりも詳しく記述されています。
情報セキュリティポリシーの基本方針、対策基準、実施手順のそれぞれの意味は以下になります。
基本方針・・・情報セキュリティの目標の作成と経営者の意思表示
対策基準・・・基本方針に従うための規定
実施手順・・・対策基準の具体的な実施手順
1.正解です。
2.不正解です。基本方針と対策基準を定めるための手順ではありません。
3.不正解です。情報セキュリティポリシーを策定するための基準では
ありません。
4.不正解です。情報セキュリティ事故発生後の対策ではありません。
