情報セキュリティポリシを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
- 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- 対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
- 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
解答
ア
解説
情報セキュリティポリシーは、企業や組織における情報資産の情報セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたものです。
- 基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
適切です。 - 実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
実施基準は、対策基準をもとに定められるため順序が逆です。 - 対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
対策基準は、文書の基準ではなく、組織が守る基準や行為を示すものです。 - 対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
実施基準の方が対策基準よりも詳しく記述したものになります。