正解：b. ポリシー

正答が正しい理由
管理コントロールは組織のメンバーが従うべきポリシーやそれに紐づく規則を使って資産の保護を行います。

他の選択肢が間違っている理由
a. 物理的なアクセス制御：管理コントロールからの要請で物理的なアクセス制御をしますが、それ自体は管理コントロールではありません。
c. 情報の分類：これはデータセキュリティの考慮事項ではありますが、管理コントロールの直接的な防御の範疇ではありません。
d. コンピュータの機能と自動化：これは技術コントロールの範疇であり、管理コントロールではありません。

情報セキュリティの資料を読むとControlという単語が頻出します。「統制」と訳されることもありますが「具体的な施策」というような意味です。最近ではそのままカタカナでコントロールと表記されることも多いと思います。情報セキュリティではコントロールは３つの種類と５つのタイプに分類されます。３つの種類とは「管理コントロール」「技術コントロール」「物理コントロール」です。５つのタイプは「抑止」「防止」「検知」「修正(補正)」「復旧」です。

この問題は３つの種類に関する出題です。管理コントロールは人を管理する方法、物理コントロールは物理的な方法、技術コントロールはコンピュータやネットワークを使う方法、によって資産の保護など情報セキュリティの目的を達成します。どれか１つというよりは組織の状況に合わせて３つの種類のコントロールを組み合わせることが多いです。

管理コントロールはポリシーやそれに紐づく規則を制定して、組織でそれを守ることで組織の資産を保護します。管理コントロールの実効性を高めるために守らない人に対する罰則を決めることもあります。
物理コントロールは情報資産を物理的な攻撃（データセンターへの不法侵入や機材の持ち出しなど）から守るためのコントロールです。施錠、監視カメラの設置、ガードマンの配置などが含まれます。
技術コントロールは情報資産を持つコンピュータやネットワークの機能と自動化を用いるコントロールです。ログインの際の認証、データベースやファイルのアクセス制御、ネットワークへの侵入検知／防止、暗号化など多くのコントロールがあります。