データベーススペシャリスト試験 2012年午前2 問21

ISMS適合性評価制度における情報セキュリティ基本方針に関する記述のうち, 適切なものはどれか。

ア：重要な基本方針を定めた機密文書であり, 社内の関係者以外の目に触れないようにする。

イ：情報セキュリティの基本方針を述べたものであり, ビジネス環境や技術が変化しても変更してはならない。

ウ：情報セキュリティのための経営陣の方向性及び支持を規定する。（正解）

エ：特定のシステムについてリスク分析を行い, そのセキュリティ対策とシステム運用の詳細を記述する。

解説

ISMS適合性評価制度における情報セキュリティ基本方針【午前2 解説】

要点まとめ

結論：情報セキュリティ基本方針は経営陣の方向性と支持を明確に示す文書である。
根拠：ISMS（情報セキュリティマネジメントシステム）では経営層の関与が重要で、基本方針は組織全体の指針となる。
差がつくポイント：基本方針は機密文書ではなく公開されるべきで、変化に応じて見直しが必要な点を理解すること。

正解の理由

選択肢ウは「情報セキュリティのための経営陣の方向性及び支持を規定する」とあり、ISMSの基本方針の本質を正確に表しています。基本方針は組織のトップが情報セキュリティに対する姿勢を示し、全社員に周知することで組織全体のセキュリティ意識を高める役割を持ちます。経営陣の支持がなければ、ISMSの運用は形骸化しやすいため、基本方針は経営層のコミットメントを示す重要な文書です。

よくある誤解

基本方針は機密文書ではなく、社内外に公開されることもあるため「秘密にするべき」と誤解されがちです。また、一度決めたら変更してはいけないと考えるのも誤りで、環境変化に応じて見直しが必要です。

解法ステップ

ISMSの基本方針の役割を理解する（経営陣の方向性と支持を示すこと）。
選択肢の文言を確認し、基本方針の特徴と照合する。
「機密文書」「変更不可」「特定システムの詳細」といった誤った特徴を含む選択肢を除外する。
経営陣の方向性と支持を明示する選択肢を正解と判断する。

選択肢別の誤答解説

ア：基本方針は機密文書ではなく、社内外に周知されることが多い。秘密にするのは誤り。
イ：基本方針は環境や技術の変化に応じて見直すべきで、固定的に変更禁止ではない。
ウ：正解。経営陣の方向性と支持を規定し、組織全体の指針となる。
エ：リスク分析や詳細な対策は基本方針ではなく、リスクアセスメントや運用手順書の範囲。

補足コラム

ISMSの基本方針は、組織の情報セキュリティに対する姿勢を示す最上位の文書です。これに基づき、リスク評価や具体的な管理策が策定されます。経営陣のコミットメントはISO/IEC 27001の要求事項でも強調されており、基本方針の策定と周知は認証取得の重要なステップです。

FAQ

Q: 基本方針はどのくらいの頻度で見直すべきですか？
A: ビジネス環境や技術の変化に応じて定期的に見直し、必要に応じて更新します。

Q: 基本方針は社外に公開してもよいですか？
A: 公開することで取引先や顧客に組織のセキュリティ姿勢を示せるため、公開されることもあります。

関連キーワード: ISMS, 情報セキュリティ基本方針, 経営陣のコミットメント, ISO27001, リスクマネジメント

← 前の問題へ次の問題へ →

データベーススペシャリスト試験 2012年 午前2 問21

解説