情報セキュリティポリシーは組織が所有する情報の機密性、完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたものです。 情報セキュリティポリシーは「基本方針」「対策基準」で構成されることが一般的です。
- 基本方針:組織における情報セキュリティ対策の根本的な考え方を示したものです。
- 対策基準:情報セキュリティの基本方針に定められた情報セキュリティを確保するために遵守するべき行為や判断などの基準です。
情報セキュリティ基本方針,又は情報セキュリティ基本方針と情報セキュリティ対策基準で構成されており,企業や組織の情報セキュリティに関する取組みを包括的に規定した文書として,最も適切なものはどれか。
~「ITパスポート 平成27年度秋期」より
ア | 情報セキュリティポリシ |
イ | 情報セキュリティマネジメントシステム |
ウ | ソーシャルエンジニアリング | エ | リスクアセスメント |
答え:ア
情報セキュリティポリシーは経営者が経営方針と情報セキュリティの整合性を取りながらトップダウンで基本方針⇒対策基準⇒実施手順の順で決定して行きます。