ITパスポート 2015年 秋期 問80
問題文
ISMSに関する記述のうち、適切なものはどれか。
選択肢
ア:ISMSのマネジメントサイクルは、セキュリティ事故が発生した時点で開始し、セキュリティ事故が収束した時点で終了する。
イ:ISMSの構築、運用は、組織全体ではなく、必ず部門ごとに行う。
ウ:ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。(正解)
エ:情報セキュリティ方針は、具体的なセキュリティ対策が記述されたものである。
🔒 解説は解答すると表示されます
ISMSに関する記述のうち、適切なものはどれか【ITパスポート 解説】
正解の理由
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が保有する情報資産(情報そのものや情報を扱うシステム、設備、人など)を守るための「仕組み」です。仕組みの中でまず行うのは、守るべき情報資産を明確にして、その資産に対するリスク(損失や被害が起きる可能性と影響)を評価し、どんな対策を取るか決めることです。したがって、選択肢のうち正しいのは ウ「ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。」です。これはISMSの基本的な流れ(資産の特定 → リスク評価 → リスク対応)に合致します。
※用語メモ
- 情報資産:組織にとって価値のある情報やそれを扱うもの(例:顧客データ、管理システム、担当者の知識)
- リスク:脅威(例:不正アクセス)と脆弱性(弱点)が組み合わさり、被害が生じる可能性と程度
解法ステップ
- 問題文でキーになる語を探す:ISMS、マネジメントサイクル、構築・運用、情報セキュリティ方針など。
- ISMSの定義を思い出す:組織的に情報の保護を行う仕組みで、リスクを管理することが中心。
- 各選択肢がISMSの基本に合うかを照らし合わせる。
- 資産の特定とリスク対応は必須か? → はい(正答)。
- 他の選択肢はISMSの性質(継続的、組織的、方針は高レベル)と合うか? → 合わない。
- 合致する選択肢を選ぶ。
選択肢別の誤答解説
- ア: 「ISMSのマネジメントサイクルは、セキュリティ事故が発生した時点で開始し、セキュリティ事故が収束した時点で終了する。」
- 誤り。ISMSは事故が起きたときだけ動く仕組みではありません。通常はPDCA(Plan-Do-Check-Act:計画→実行→点検→改善)を継続的に回して運用します。事故対応はその一部(インシデント対応)に過ぎません。
- イ: 「ISMSの構築、運用は、組織全体ではなく、必ず部門ごとに行う。」
- 誤り。ISMSは組織単位でスコープ(適用範囲)を定めて行います。部門ごとに分けて行うこともありますが、「必ず部門ごとに行う」と断定するのは間違いです。組織の規模や目的に応じてスコープは柔軟に決めます。
- ウ: 「ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。」
- 正しい。ISMSではまず資産の特定(何を守るか)を行い、その上でリスク評価と対策(リスク低減、受容、移転など)を決めます。
- エ: 「情報セキュリティ方針は、具体的なセキュリティ対策が記述されたものである。」
- 誤り。情報セキュリティ方針は組織全体の基本方針・目標を示す高レベルな文書です。具体的対策(運用手順や技術的設定)は運用基準や手順書に書かれます。
よくある誤解
- 「ISMSは事故が起きたときだけ必要」
- 誤解です。ISMSは事故を未然に防ぎ、継続的に改善する仕組みです。事故対応は一部の活動に過ぎません。
- 「情報セキュリティ方針=具体的なルール」
- 方針は方針です。方針は「こうする」という方針や目標を示し、具体的ルールは別の文書で定めます。
- 「ISMSは全部門で同じやり方でなければならない」
- スコープは柔軟に決められます。組織全体で行うことが多いですが、必要に応じて部門や拠点単位で実施することもあります。
補足コラム
ISMSは多くの組織で国際標準である ISO/IEC 27001 に基づいて実施されます(ISO/IEC 27001は情報セキュリティマネジメントの国際規格)。実際の手順は概ね次の流れです。
- 資産の特定:何を守るのか(顧客データ、サーバ、担当者の知識など)
- リスク評価:脅威(例:漏えい、改ざん)と脆弱性(例:古いソフト)を洗い出し、影響と発生確率を評価
- リスク対応の決定:対策を実施してリスクを低減する、受容する、移転(保険など)する、回避する
- 実行と運用:決めた対策を現場で運用する
- 点検と改善:監査や評価で効果を確認し、改善する(PDCA)
簡単な例:顧客データベースを守る場合
- 資産:顧客データベース
- リスク例:不正アクセスによる漏えい(脅威) × 弱い認証(脆弱性)
- 対策:強い認証、アクセス制御、暗号化、定期バックアップ
FAQ
Q1. ISMSの導入は中小企業でも必要ですか?
A1. 必要性は組織次第です。顧客情報を扱う、取引先に求められる、法令対応が必要などの場合は導入のメリットが大きいです。スモールスタートで範囲を限定して始める企業も多いです。
A1. 必要性は組織次第です。顧客情報を扱う、取引先に求められる、法令対応が必要などの場合は導入のメリットが大きいです。スモールスタートで範囲を限定して始める企業も多いです。
Q2. 情報セキュリティ方針は誰が作るべきですか?
A2. 経営層が方針を決定し、実務者が具体的な基準や手順を作るのが一般的です。方針は経営のコミットメントを示す役割があります。
A2. 経営層が方針を決定し、実務者が具体的な基準や手順を作るのが一般的です。方針は経営のコミットメントを示す役割があります。
Q3. リスクの評価はどうやって点数を出すのですか?
A3. 定量的(損失金額の推定)や定性的(高・中・低のような評価)があります。重要なのは一貫した基準で評価し、優先順位をつけることです。
A3. 定量的(損失金額の推定)や定性的(高・中・低のような評価)があります。重要なのは一貫した基準で評価し、優先順位をつけることです。
関連キーワード: ISMS、情報セキュリティ、リスクアセスメント、PDCA、ISO27001、情報資産管理

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

