【問201】個人情報保護士 練習問題|組織的セキュリティ(情報セキュリティポリシー)
情報セキュリティ 問21/120難易度A(易しい)
問題文
情報セキュリティポリシーに関する次の記述のうち、最も適切なものはどれか。
- 1.情報セキュリティポリシーは情報システム部門のみが遵守すれば足り、全従業員への周知は不要である
- 2.情報セキュリティポリシーは一度策定すれば見直しの必要はない
- 3.情報セキュリティポリシーは基本方針、対策基準、実施手順の3階層で構成されるのが一般的である
- 4.情報セキュリティポリシーは法的拘束力を持つ法令であり、違反した場合は刑事罰が科される
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り
情報セキュリティポリシーは経営層を含む全従業員が遵守すべきものであり、組織全体への周知・教育が不可欠です。
選択肢2 → ❌誤り
情報セキュリティポリシーは環境変化や新たな脅威の出現に応じて定期的に見直し、改訂する必要があります。PDCAサイクルによる継続的改善が求められます。
選択肢3 → ✅正解
情報セキュリティポリシーは一般的に、基本方針(組織の情報セキュリティに対する基本的な考え方)、対策基準(基本方針を実現するための具体的な遵守事項)、実施手順(対策基準に基づく具体的な手順書)の3階層で構成されます。
選択肢4 → ❌誤り
情報セキュリティポリシーは組織の内部規程であり、法令ではありません。ただし、ポリシー違反は就業規則に基づく懲戒の対象となることがあります。
背景知識
情報セキュリティポリシーは組織における情報セキュリティ対策の基盤となる文書です。基本方針は経営層の承認のもとに策定され、組織としての情報セキュリティに対する姿勢を明示します。対策基準は情報資産の分類基準やアクセス制御の要件など具体的な基準を定め、実施手順は各システムや業務における具体的な操作手順を記述します。総務省の情報セキュリティポリシーに関するガイドラインでもこの3階層構造が推奨されています。
学習アドバイス
3階層構造(基本方針・対策基準・実施手順)の各層の役割と特徴を正確に覚えましょう。策定後のPDCAサイクルによる見直しも重要なポイントです。
まとめ
- 情報セキュリティポリシーは基本方針・対策基準・実施手順の3階層
- 全従業員が遵守すべき組織の内部規程
- 定期的な見直しと改訂が必要