ITパスポート 2015年 秋期 問62
問題文
ISMSの情報セキュリティ方針に関する記述として、適切なものはどれか。
選択肢
ア:情報セキュリティ方針は、トップマネジメントが確立しなければならない。(正解)
イ:情報セキュリティ方針は、社外に公表してはならない。
ウ:一度制定した情報セキュリティ方針は変更できない。
エ:個人情報や機密情報を扱わない従業者には、情報セキュリティ方針を周知しなくてもよい。
🔒 解説は解答すると表示されます
ISMSの情報セキュリティ方針に関する記述【ITパスポート 解説】
正解の理由
ISMS(Information Security Management System:情報セキュリティ管理の仕組み)の枠組みでは、組織の「情報セキュリティ方針」は経営のトップが責任を持って決め、支援と資源の確保を約束することが求められます。つまり、組織全体の方向性や経営判断につながるため、最終的な責任と承認は経営層にあります。したがって、選択肢のうち正しいのは ア です。
(ポイント)
- 情報セキュリティ方針は単なる「ルール」ではなく、経営が情報セキュリティに対してどのように関与し、責任を持つかを示す基本文書です。
- 国際規格 ISO/IEC 27001(情報セキュリティ管理の国際基準)でも、トップマネジメントの関与と方針の確立を明示しています。
解法ステップ
- 「ISMS」の意味を確認する。
- ISMS = Information Security Management System(情報セキュリティ管理の仕組み)。
- 問題が尋ねるのは「情報セキュリティ方針」に関する基本的な要件かどうかを判断する。
- 国際標準や教科書でよく出るキーワードを思い出す:トップマネジメントの責任、周知、見直し、公開の可否。
- 各選択肢を次の観点でチェックする:トップの責任/公開の禁止/変更不可/周知の範囲。
- 知識に照らして当てはまるものを選ぶ。結果、経営層が確立する点が正しいため ア を選ぶ。
選択肢別の誤答解説
-
ア: 情報セキュリティ方針は、トップマネジメントが確立しなければならない。
- 解説:正しい。方針は経営の方針表明であり、トップが責任を持って確立・支持することが必要です。
-
イ: 情報セキュリティ方針は、社外に公表してはならない。
- 解説:誤り。方針の全部を公開するかどうかは組織の判断ですが、社外に基本方針を公表することは一般的であり、むしろ利害関係者(顧客や取引先)に対する信頼のために公表する場合が多いです。公開する場合は、内部の詳細(具体的な設定や手順)は非公開にすることがあります。
-
ウ: 一度制定した情報セキュリティ方針は変更できない。
- 解説:誤り。方針は固定ではなく、環境変化やリスク評価の結果、法令の変更などに応じて見直し・改定する必要があります。継続的改善がISMSの原則です。
-
エ: 個人情報や機密情報を扱わない従業者には、情報セキュリティ方針を周知しなくてもよい。
- 解説:誤り。方針は組織全体の指針であり、全従業者に周知することが必要です。誰が扱うかにかかわらず、情報の取り扱いやセキュリティ意識は組織全体で共有する必要があります。
よくある誤解
-
「トップマネジメント = CEOだけ」
- 誤解です。トップマネジメントは組織の経営層や方針決定者を指します。小さな会社では代表者が該当しますが、役職名にこだわらず「経営的な責任を持つ人々」を意味します。
-
「方針を外部に出すと機密が漏れる」
- 方針文書は声明や方向性が中心で、具体的な技術設定や機密情報は通常含めません。公開してもセキュリティ上の問題にならない場合が多く、信頼獲得のために公開する組織もあります。
-
「方針は一回作れば終わり」
- 方針は定期的な見直しが必要です。変化するリスクや法令、業務内容に合わせて改定することが望まれます。
補足コラム
-
情報セキュリティ方針に含める典型的な項目:
- 方針の目的と範囲(どの業務や組織に適用するか)
- 経営層のコミットメント(情報の保護、法令遵守、継続的改善の約束)
- 主要な目標(可用性、機密性、完全性の確保)
- 周知方法と見直しの頻度
-
用語メモ:
- ISO/IEC 27001(アイエスオー・アイイーシー 27001): 情報セキュリティマネジメントの国際規格。方針やリスク対応、管理策の仕組みを定めています。
- トップマネジメント(top management): 経営の最終意思決定者層。方針の承認と資源配分の責任を持ちます。
-
短い例(方針例文):
- 「当社は顧客情報の機密性を保護し、法令を遵守し、継続的に情報セキュリティを改善します。」
- この一文は経営のコミットメントを示す簡潔な方針になります。
FAQ
Q1: 「トップマネジメントが確立する」とは具体的に何をすることですか?
A1: 方針を承認し、実行に必要な資源(人員・予算・体制)を割り当て、方針の実現を組織全体で支持することです。
A1: 方針を承認し、実行に必要な資源(人員・予算・体制)を割り当て、方針の実現を組織全体で支持することです。
Q2: 情報セキュリティ方針は公開すべきですか?
A2: 必ず公開しなければならないわけではありませんが、多くの組織は基本方針を公表して顧客や取引先に安心感を与えます。内部の具体的手順は公開しないことが一般的です。
A2: 必ず公開しなければならないわけではありませんが、多くの組織は基本方針を公表して顧客や取引先に安心感を与えます。内部の具体的手順は公開しないことが一般的です。
Q3: 方針の見直しはどれくらいの頻度で行えばよいですか?
A3: 明確な決まりはありませんが、年1回程度の定期見直しと、重大な事故や組織変更、法令改正があった場合の随時見直しが望ましいです。
A3: 明確な決まりはありませんが、年1回程度の定期見直しと、重大な事故や組織変更、法令改正があった場合の随時見直しが望ましいです。
Q4: 小さな会社でもトップマネジメントの関与は必要ですか?
A4: はい。規模に関わらず、経営層の関与がないと方針が現場に浸透せず、適切な対策が実行されません。
A4: はい。規模に関わらず、経営層の関与がないと方針が現場に浸透せず、適切な対策が実行されません。
関連キーワード: ISMS、情報セキュリティ方針、トップマネジメント、ISO/IEC 27001、周知、公開、改定、経営責任、継続的改善

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

