ITパスポート 2014年 秋期 問61
問題文
組織で策定する情報セキュリティポリシに関する記述のうち、最も適切なものはどれか。
選択肢
ア:情報セキュリティ基本方針だけでなく、情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
イ:情報セキュリティ基本方針だけでなく、情報セキュリティに関する規則や手順も社外に公開することが求められている。
ウ:情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが、最上位の情報セキュリティ基本方針は業界標準の雛形をそのまま採用することが求められている。
エ:組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも、情報セキュリティ基本方針は組織全体で統一させるべきである。(正解)
🔒 解説は解答すると表示されます
組織で策定する情報セキュリティポリシに関する記述【ITパスポート 解説】
正解の理由
組織全体の方針である情報セキュリティ基本方針は、経営層が示す「守るべき方向性・ルールの枠組み」です。したがって、複数の部門で実際の対策(運用手順や細かな規則)が異なっていても、基本方針自体は組織全体で統一して示すべきです。これが選択肢の エ を正しい理由です。基本方針は全社の目標や許容できるリスクの範囲を明確にするもので、部門ごとの差異は下位の規則・手順で吸収します。
解法ステップ
- キーワードを確認する
- 情報セキュリティ基本方針:経営層が示す高レベルの方針(何を重視し、どのような姿勢で臨むかを示すもの)。
- 規則・手順:具体的な実施方法や詳細ルール(誰が何をどのように行うか)。
- 方針と手順の役割(階層)を理解する
- 基本方針(トップ) → 規程・基準(中間) → 手順やマニュアル(現場)という階層構造を想像する。
- 各選択肢を上の階層観点で検証する
- 「基本方針は組織全体で統一」するのが自然か、あるいは「各部門で別々が良い/経営者が細部も作るべきか」などを基準に消去法で選ぶ。
選択肢別の誤答解説
- ア: 情報セキュリティ基本方針だけでなく、情報セキュリティに関する規則や手順の策定も経営者が行うべきである。
→ 経営者は基本方針の策定と承認、資源配分・ガバナンス(組織の運営管理)を担いますが、詳細な規則や手順の作成は実務責任者(情報セキュリティ担当者や各部門)が行うのが通常です。経営者が全部細かく作ると運用性が落ちます。 - イ: 情報セキュリティ基本方針だけでなく、情報セキュリティに関する規則や手順も社外に公開することが求められている。
→ 基本方針を公開すること(対外的な信頼を示すために公開する例)はありますが、細かな内部手順まで社外公開が「求められている」わけではありません。内部の手順は機密にする必要がある場合も多いです。 - ウ: 情報セキュリティに関する規則や手順は組織の状況にあったものにすべきであるが、最上位の情報セキュリティ基本方針は業界標準の雛形をそのまま採用することが求められている。
→ 業界標準や雛形を参考にするのは良いですが、「そのまま採用することが求められている」わけではありません。基本方針も組織の事業内容、リスク許容度、法規制に合わせてカスタマイズすべきです。 - エ: 組織内の複数の部門で異なる情報セキュリティ対策を実施する場合でも、情報セキュリティ基本方針は組織全体で統一させるべきである。
→ 組織全体での統一した方向性(例:情報資産を保護する姿勢、守秘義務の基本方針など)は必要です。部門ごとの実施方法の違いは、下位の規則や手順で対応します。よって エ が適切です。
よくある誤解
- 「経営者が全部作るべき」
- 誤りの理由:経営者は方針と責任を明示しますが、現場レベルの手順は実務側が作る方が現実的で運用しやすいです。
- 「公開すれば良い」=「詳細も公開すべき」
- 誤りの理由:基本方針の公開は信頼性向上に有利ですが、詳細な内規や手順は攻撃者に有利になる可能性があり、公開は慎重に判断します。
- 「雛形をそのまま使えばOK」
- 誤りの理由:雛形は参考になりますが、事業内容や法規制に合わせたカスタマイズが必要です。
補足コラム
情報セキュリティの文書は階層構造になっています。わかりやすく言うと会社の「憲法」「法律」「運用マニュアル」のような関係です。
- 情報セキュリティ基本方針(憲法): 企業の姿勢や目標を示す。経営層が策定・承認。
- 規程・基準(法律): 基本方針を具体化したルール群(例:パスワード基準)。
- 手順・マニュアル(運用): 現場での具体的な手順。部門ごとに最適化して作成。
また、PDCA(Plan-Do-Check-Act:計画・実行・点検・改善)サイクルで継続的に見直すことが重要です。国際規格の ISO/IEC 27001(情報セキュリティ管理の国際規格)もこの考えを取り入れています。
※用語補足
- CISO(Chief Information Security Officer:最高情報セキュリティ責任者): 情報セキュリティ対策の責任者。
- PDCA(Plan-Do-Check-Act):業務改善の循環モデル。計画→実行→評価→改善の順で回します。
FAQ
Q1. 情報セキュリティ基本方針は必ず文書化すべきですか?
A1. はい。文書化して経営者の承認があることが望ましいです。関係者に周知し、運用と監査ができるようにします。
A1. はい。文書化して経営者の承認があることが望ましいです。関係者に周知し、運用と監査ができるようにします。
Q2. 部門ごとに異なる手順を作っても問題ありませんか?
A2. 問題ありません。基本方針の枠内であれば、業務内容に応じた手順を作るのが適切です。ただし、方針に反するものは作れません。
A2. 問題ありません。基本方針の枠内であれば、業務内容に応じた手順を作るのが適切です。ただし、方針に反するものは作れません。
Q3. 基本方針はどの頻度で見直しますか?
A3. 定期的(年1回など)と、法改正や事業変更・重大インシデント発生時には随時見直します。PDCAで管理します。
A3. 定期的(年1回など)と、法改正や事業変更・重大インシデント発生時には随時見直します。PDCAで管理します。
関連キーワード: 情報セキュリティ基本方針、ポリシーヒエラルキー、規程・手順、ガバナンス、CISO、PDCA、ISO/IEC 27001

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

