基本情報技術者試験「情報セキュリティポリシー」の問題
G社の情報セキュリティ文書は、経営層が定めた『当社は情報資産を適切に保護する』という基本方針と、『パスワードは規定の方法で管理する』といった対策基準、『パスワード設定画面でこう操作する』という手順書から成る。新たに具体的な操作手順だけを改訂したい場合、原則として改訂が必要となる文書はどれか。
ア経営層の基本方針を、操作手順に合わせて全面的に書き換える。
イ操作のやり方を記した一番下の実施手順書を改める。
ウ基本方針と対策基準の両方を、手順変更に合わせて同時に直す。
エ対策基準のほうだけを直し、実施手順書はそのまま据え置く。
正解
イ.操作のやり方を記した一番下の実施手順書を改める。
情報セキュリティポリシーは、理念を示す基本方針、遵守事項を定める対策基準、具体的なやり方を記す実施手順の三層からなる。操作手順の変更は最下層の実施手順書を改訂すれば足り、上位の方針・基準は具体策に依存しないため原則として改訂は不要である。
?選択肢ごとの解説
ア ×基本方針は組織の理念・姿勢を示す最上位文書で具体的手順に左右されないため、手順変更のたびに全面改訂する必要はない。
イ ○情報セキュリティポリシーは、理念を示す基本方針、遵守事項を定める対策基準、具体的なやり方を記す実施手順の三層からなる。操作手順の変更は最下層の実施手順書を改訂すれば足り、上位の方針・基準は具体策に依存しないため原則として改訂は不要である。
ウ ×上位の基本方針・対策基準は個別の操作手順の変更に連動して改める必要はなく、毎回同時改訂するのは過剰で非効率である。
エ ×変更したいのは具体的な操作手順であり、改訂すべきは実施手順書である。対策基準だけ直して手順書を据え置くのは目的と対象が逆である。
✎くわしく
ポリシー文書は階層化することで、抽象的で安定した上位文書(方針・基準)と、技術や運用の変化で頻繁に更新される下位文書(手順)を分離できる。これにより、手順の細かな変更で上位文書まで巻き込まず、保守性と一貫性を両立できる。
✓本番での押さえどころ
試験のコツ
ポリシーは『基本方針→対策基準→実施手順』の三層。変更箇所に応じて該当層だけを改訂するのが原則。
覚え方
上位ほど変わらない『理念』、下位ほど変わる『やり方』。手順変更は一番下だけ直す。
よくある誤り
三層の役割を区別せず、手順の小変更でも基本方針や対策基準まで改訂が必要だと考えてしまう。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0139