情報セキュリティポリシーの説明として適切なものはどれか。

📝 解説

情報セキュリティポリシーとは「組織の情報セキュリティに関する方針・基準・手順をまとめた文書体系」のことです。会社の就業規則に例えましょう。就業規則には「勤務時間」「服務規律」「懲戒処分」などが定められ、全社員が守るべきルールが明文化されています。情報セキュリティポリシーもこれと同様で「何を守るか・どうやって守るか・違反したらどうなるか」を文書化します。一般的に基本方針（なぜセキュリティが必要か）→対策基準（何をどう守るか）→実施手順（具体的な操作・作業手順）の3階層で構成されます。誤答の「特定のセキュリティ製品の導入計画」はセキュリティ製品選定の話、「セキュリティ事故が発生した際の対応手順書」はインシデント対応手順書（ポリシーの一部）、「セキュリティ研修の計画書」は教育計画書の説明です！