85の正解: テクノロジ系セキュリティ

情報セキュリティポリシを、基本方針、対策基準,実施手順の三つの文書で構成したとき、これらに関する説明のうち、適切なものはどれか。

この設問が問うていること

情報セキュリティポリシを構成する「基本方針」「対策基準」「実施手順」の役割分担について問う設問です。

基本方針は、対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。正解
選択肢の解説: 基本方針は、組織のセキュリティに対するトップマネジメントの意思や基本姿勢を宣言した最高位の文書であるため、適切です。
実施手順は、基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
選択肢の解説: 実施手順は、対策基準で定められた具体的なセキュリティルールを業務で実行するための手順(マニュアル)を示したものです。
対策基準は、ISMS に準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
選択肢の解説: 対策基準は、情報資産を守るために実行すべきルールや判断基準を規定した文書です。ISMSに準拠するための基準を示すものではありません。
対策基準は、情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
選択肢の解説: 実施手順の方が、個々の状況に応じた具体的な操作や対処方法を詳細に記述します。

総合解説

情報セキュリティポリシは、一般に以下の3層構造(基本方針、対策基準、実施手順)で策定されます。 1. 基本方針(a): 企業としてのセキュリティへの取り組み姿勢や目的を明記した、トップマネジメント(経営陣)が定める最上位の基本文書です。 2. 対策基準(c, d): 基本方針を基に、すべての情報資産や業務に対して「何をすべきか(適用すべきセキュリティルール)」を定めた社内規程です。 3. 実施手順(b): 対策基準で定めたルールを、具体的なシステム操作や日常の業務でどのように実現するかを詳細に記述したマニュアル・手順書です。 したがって、各階層の定義として正しい記述は基本方針について述べた選択肢aです。

執筆・監修: 運営者 KH更新日: 2026-07-05出典: IPA公式PDF(過去問題・解答例)
AIAIにその場で質問(デモ応答)

こんな聞き方もできます(タップで質問)

令和4年度を本番同様のCBT形式で解いてみよう

無料登録なしでも一部体験可能。登録すれば採点・弱点分析・AI教科書まで使えます。

令和4年度の過去問CBTを解く