情報セキュリティポリシに関する文書を、基本方針、対策基準及び実施手順の三つに分けたとき、これらに関する説明のうち、適切なものはどれか。
ア:経営層が立てた基本方針を基に、対策基準を策定する。
イ:現場で実施している実施手順を基に、基本方針を策定する。
ウ:現場で実施している実施手順を基に、対策基準を策定する。
エ:組織で規定している対策基準を基に、基本方針を策定する。
答:ア
ア:正しい。経営層が立てた基本方針を基に、対策基準を策定する。
イ:誤り。基本方針の策定は、経営層が行う。
ウ:誤り。対策基準は、経営層が立てた基本方針を基に策定する。
エ:誤り。基本方針の策定は、経営層が行う。