戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2011年 秋期 83


問題文

情報セキュリティ基本方針の説明として、適切なものはどれか。

選択肢

一度決められた情報セキュリティ基本方針は、ビジネス環境や技術が変化しても変更すべきでない。
情報セキュリティに関する組織の取組み姿勢を示したものであり、組織のトップによって承認され、公表される。(正解)
セキュリティビジネスを拡大するための重点的な取組みについて、株主や一般に広く公開されるものである。
組織のセキュリティの考え方に基づいて、具体的なセキュリティ施策について述べたものである。

🔒 解説は解答すると表示されます

情報セキュリティ基本方針の説明【ITパスポート 解説】

正解の理由

「情報セキュリティ基本方針」は、組織が情報セキュリティに対してどのように取り組むかという姿勢や考え方を示す文書(=ポリシー)です。重要な点は次のとおりです。
  • 組織のトップ(経営者)が承認することにより、方針の権威と実行の責任が明確になります。
  • 公表(社内外への周知)により、従業員や関係者に方針を守る必要性を伝えます。
上記は選択肢イの記述と一致します。したがってイが正解です。
(補足用語)ポリシー(policy)は「組織の方針や基本的な考え方」を指します。

解法ステップ

  1. 問題文のキーワードを探す:「基本方針」「組織の取組み姿勢」「トップ承認」「公表」など。
  2. 「基本方針」が高レベル(大まかな方針)であることを思い出す。具体的施策ではない。
  3. 選択肢の文と照らし合わせ、トップ承認と公表を含むものを選ぶ。
  4. 他の選択肢が方針の性質(変更可否、目的、具体性)と合わないか確認する。
この順で考えると、イが最も適切であると判断できます。

選択肢別の誤答解説

  • ア: 一度決められた情報セキュリティ基本方針は、ビジネス環境や技術が変化しても変更すべきでない。
    → 誤り。方針は固定ではなく、環境変化や新たな脅威に対応して見直す必要があります。PDCA(Plan-Do-Check-Act:計画・実行・評価・改善のサイクル)で定期的に更新するのが正しい運用です。
  • ウ: セキュリティビジネスを拡大するための重点的な取組みについて、株主や一般に広く公開されるものである。
    → 誤り。これはマーケティングや事業戦略の説明に近い内容です。基本方針は「組織のセキュリティに対する姿勢」を示すものであり、事業拡大のための公開文書という趣旨ではありません。公開はすることがありますが、目的が違います。
  • エ: 組織のセキュリティの考え方に基づいて、具体的なセキュリティ施策について述べたものである。
    → 誤り。具体的な施策や手順は「規程(ルール)」や「手順書」に記載します。基本方針は高レベルで簡潔な宣言にとどめ、詳細は別文書で定めるのが一般的です。
(用語補足)規程は「具体的な規則」、手順書は「作業の順番ややり方」を意味します。

よくある誤解

  1. 「方針=詳細な技術対策」と考える
    • 方針は「何を重視するか」を示すだけで、ファイアウォールの設定やパスワード長の規定など具体策は別書に書きます。
  2. 「一度作れば更新不要」と思う
    • 技術や脅威は変わるため、定期的な見直しが必要です。レビューの頻度は組織次第ですが、少なくとも年1回や重大な事件後の見直しが推奨されます。
  3. 「公表=すべて公開してよい」と勘違いする
    • 公表は方針の存在や姿勢の共有を意味しますが、内部の脆弱性情報や詳細な設計図などは公開すべきではありません。

補足コラム

  • ISO/IEC 27001(ISOは International Organization for Standardization:国際標準化機構、IECは International Electrotechnical Commission:国際電気標準会議)は、情報セキュリティマネジメントの国際規格です。この規格でも「方針(information security policy)」の策定・承認・公表が求められています。
  • 実務上のポイント(方針作成のコツ):
    • 文書は短く、明確に。長文は浸透しにくいです。
    • トップの署名や承認日を入れる。責任の所在が明確になります。
    • 公表と教育(従業員向け説明)をセットで行う。守る理由を伝えることが重要です。
    • 見直しルール(期間・担当者)を定める。

FAQ

Q1: 情報セキュリティ基本方針は社外に全部公開すべきですか?
A1: 全部公開する必要はありません。方針の存在と組織の姿勢は公表して信頼を示せますが、詳細な内部手順や脆弱性情報は公開すべきではありません。
Q2: 方針は誰が作るべきですか?
A2: 作成は情報セキュリティ担当や情報システム部門が中心になりますが、最終的な承認は経営トップが行い、全社的な合意を得ることが重要です。
Q3: どのくらいの頻度で見直せばよいですか?
A3: 一般に年1回以上の見直しが推奨されます。法令や事業環境、技術の変化、セキュリティインシデント発生時には都度見直します。

関連キーワード: 情報セキュリティ、基本方針、セキュリティポリシー、トップ承認、公表、規程、手順、PDCA、リスクマネジメント、ISO/IEC 27001
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について