ITパスポート 令和6年度 公開問題(過去問) 問94 について解説します。
問題
問94 企業において情報セキュリティポリシー策定で行う作業のうち、次の作業の実施順序として、適切なものはどれか。
a 策定する責任者や担当者を決定する。
b 情報セキュリティ対策の基本方針を策定する。
c 保有する情報資産を洗い出し、分類する。
d リスクを分析する。
ア a → b → c → d
イ a → b → d → c
ウ b → a → c → d
エ b → a → d → c
解説・解答
この問題は、企業が情報セキュリティポリシーを策定する際、どのようなステップをどの順番で行うべきかを問うものです。
情報セキュリティポリシーとは?
情報セキュリティポリシーとは、企業の情報資産を守るための基本的な考え方・方針・ルールをまとめたものです。3つの階層構造があることが多いです。
| 階層 | 内容 | 説明 |
|---|---|---|
| ① 基本方針 | セキュリティの目的や経営層の意思 | 「何を守るために何を目指すか」 |
| ② 対策基準 | 対策の方針、対象、対象範囲など | ルールとしての体制・権限・範囲 |
| ③ 実施手順 | 実務的な対応方法・手順 | 手順書やマニュアルレベル |
情報セキュリティポリシーの策定プロセス
一般的な流れは以下のとおりです。
1.体制整備
情報セキュリティのポリシーを策定・運用するには、体制の整備(責任の所在)から始まります。「誰が作るのか」が曖昧なまま進めると、途中で責任が不明確になり、機能しなくなるからです。
a の「策定する責任者や担当者を決定する」に該当します。
2.基本方針策定
次に基本方針(おおまかな方向性)を策定します。この段階では、まだ詳細な対策を決めるのではなく、経営層の意志としての「トップダウンの理念やビジョン」を文書化することが目的です。
b の「情報セキュリティ対策の基本方針を策定する」に該当します。
3.情報資産の棚卸し・分類
次に「何を守るべきか」を明確にします。(例: 顧客情報、設計データ、業務マニュアルなど。)何を守るか(資産)を把握しなければ、どんなリスクがあるかは評価できません。
c の「保有する情報資産を洗い出し、分類する」に該当します。
4.リスク分析
守るべき資産が明らかになったら、次はそれに対してのリスクを分析します。リスク分析の視点には、下記があります。
・脅威(悪意ある攻撃者、災害、人為ミスなど)
・脆弱性(パスワードの弱さ、ソフトの脆弱性など)
・影響(業務停止、社会的信用の失墜など)
d の「リスクを分析する」に該当します。
よって、a → b → c → d が正しい実施順序になります。
以上により、この問題の解答は「ア」になります。
