情報セキュリティ

基本情報技術者試験情報セキュリティポリシー」の問題

情報セキュリティ情報セキュリティ難易度:normal
G社の情報セキュリティ文書は、経営層が定めた『当社は情報資産を適切に保護する』という基本方針と、『パスワードは規定の方法で管理する』といった対策基準、『パスワード設定画面でこう操作する』という手順書から成る。新たに具体的な操作手順だけを改訂したい場合、原則として改訂が必要となる文書はどれか。
経営層の基本方針を、操作手順に合わせて全面的に書き換える。
操作のやり方を記した一番下の実施手順書を改める。
基本方針と対策基準の両方を、手順変更に合わせて同時に直す。
対策基準のほうだけを直し、実施手順書はそのまま据え置く。
正解
操作のやり方を記した一番下の実施手順書を改める。

情報セキュリティポリシーは、理念を示す基本方針、遵守事項を定める対策基準、具体的なやり方を記す実施手順の三層からなる。操作手順の変更は最下層の実施手順書を改訂すれば足り、上位の方針・基準は具体策に依存しないため原則として改訂は不要である。

?選択肢ごとの解説

ア ×基本方針は組織の理念・姿勢を示す最上位文書で具体的手順に左右されないため、手順変更のたびに全面改訂する必要はない。
イ ○情報セキュリティポリシーは、理念を示す基本方針、遵守事項を定める対策基準、具体的なやり方を記す実施手順の三層からなる。操作手順の変更は最下層の実施手順書を改訂すれば足り、上位の方針・基準は具体策に依存しないため原則として改訂は不要である。
ウ ×上位の基本方針・対策基準は個別の操作手順の変更に連動して改める必要はなく、毎回同時改訂するのは過剰で非効率である。
エ ×変更したいのは具体的な操作手順であり、改訂すべきは実施手順書である。対策基準だけ直して手順書を据え置くのは目的と対象が逆である。

くわしく

ポリシー文書は階層化することで、抽象的で安定した上位文書(方針・基準)と、技術や運用の変化で頻繁に更新される下位文書(手順)を分離できる。これにより、手順の細かな変更で上位文書まで巻き込まず、保守性と一貫性を両立できる。

本番での押さえどころ

試験のコツ

ポリシーは『基本方針→対策基準→実施手順』の三層。変更箇所に応じて該当層だけを改訂するのが原則。

覚え方

上位ほど変わらない『理念』、下位ほど変わる『やり方』。手順変更は一番下だけ直す。

よくある誤り

三層の役割を区別せず、手順の小変更でも基本方針や対策基準まで改訂が必要だと考えてしまう。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0139

【基本情報技術者試験】情報セキュリティポリシーの問題 — 解答・解説|ukamiru 過去問