情報セキュリティポリシーの構成として適切なものはどれか。

📝 解説

情報セキュリティポリシーは「基本方針→対策基準→実施手順」の3階層で構成されます。鉄道会社の安全管理で例えると、①「安全を最優先に列車を運行する」（基本方針＝経営トップの宣言）→②「制限速度を超えた場合は自動停止装置を作動させる」（対策基準＝具体的ルール）→③「出発前にブレーキの動作確認手順は○○の順に行う」（実施手順＝現場の作業手順書）という階層構造と同じです。基本方針は変わらない大方針、対策基準はそれを実現するルール、実施手順は日常の具体的操作手順と役割が異なります。「基本方針のみ」や「技術的対策のみ」では不完全。3階層セットで機能する点が重要です！