戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2015年 秋期 80


問題文

ISMSに関する記述のうち、適切なものはどれか。

選択肢

ISMSのマネジメントサイクルは、セキュリティ事故が発生した時点で開始し、セキュリティ事故が収束した時点で終了する。
ISMSの構築、運用は、組織全体ではなく、必ず部門ごとに行う。
ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。(正解)
情報セキュリティ方針は、具体的なセキュリティ対策が記述されたものである。

🔒 解説は解答すると表示されます

ISMSに関する記述のうち、適切なものはどれか【ITパスポート 解説】

正解の理由

ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が保有する情報資産(情報そのものや情報を扱うシステム、設備、人など)を守るための「仕組み」です。仕組みの中でまず行うのは、守るべき情報資産を明確にして、その資産に対するリスク(損失や被害が起きる可能性と影響)を評価し、どんな対策を取るか決めることです。したがって、選択肢のうち正しいのは 「ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。」です。これはISMSの基本的な流れ(資産の特定 → リスク評価 → リスク対応)に合致します。
※用語メモ
  • 情報資産:組織にとって価値のある情報やそれを扱うもの(例:顧客データ、管理システム、担当者の知識)
  • リスク:脅威(例:不正アクセス)と脆弱性(弱点)が組み合わさり、被害が生じる可能性と程度

解法ステップ

  1. 問題文でキーになる語を探す:ISMS、マネジメントサイクル、構築・運用、情報セキュリティ方針など。
  2. ISMSの定義を思い出す:組織的に情報の保護を行う仕組みで、リスクを管理することが中心。
  3. 各選択肢がISMSの基本に合うかを照らし合わせる。
    • 資産の特定とリスク対応は必須か? → はい(正答)。
    • 他の選択肢はISMSの性質(継続的、組織的、方針は高レベル)と合うか? → 合わない。
  4. 合致する選択肢を選ぶ。

選択肢別の誤答解説

  • ア: 「ISMSのマネジメントサイクルは、セキュリティ事故が発生した時点で開始し、セキュリティ事故が収束した時点で終了する。」
    • 誤り。ISMSは事故が起きたときだけ動く仕組みではありません。通常はPDCA(Plan-Do-Check-Act:計画→実行→点検→改善)を継続的に回して運用します。事故対応はその一部(インシデント対応)に過ぎません。
  • イ: 「ISMSの構築、運用は、組織全体ではなく、必ず部門ごとに行う。」
    • 誤り。ISMSは組織単位でスコープ(適用範囲)を定めて行います。部門ごとに分けて行うこともありますが、「必ず部門ごとに行う」と断定するのは間違いです。組織の規模や目的に応じてスコープは柔軟に決めます。
  • ウ: 「ISMSを構築する組織は、保護すべき情報資産を特定し、リスク対策を決める。」
    • 正しい。ISMSではまず資産の特定(何を守るか)を行い、その上でリスク評価と対策(リスク低減、受容、移転など)を決めます。
  • エ: 「情報セキュリティ方針は、具体的なセキュリティ対策が記述されたものである。」
    • 誤り。情報セキュリティ方針は組織全体の基本方針・目標を示す高レベルな文書です。具体的対策(運用手順や技術的設定)は運用基準や手順書に書かれます。

よくある誤解

  1. 「ISMSは事故が起きたときだけ必要」
    • 誤解です。ISMSは事故を未然に防ぎ、継続的に改善する仕組みです。事故対応は一部の活動に過ぎません。
  2. 「情報セキュリティ方針=具体的なルール」
    • 方針は方針です。方針は「こうする」という方針や目標を示し、具体的ルールは別の文書で定めます。
  3. 「ISMSは全部門で同じやり方でなければならない」
    • スコープは柔軟に決められます。組織全体で行うことが多いですが、必要に応じて部門や拠点単位で実施することもあります。

補足コラム

ISMSは多くの組織で国際標準である ISO/IEC 27001 に基づいて実施されます(ISO/IEC 27001は情報セキュリティマネジメントの国際規格)。実際の手順は概ね次の流れです。
  • 資産の特定:何を守るのか(顧客データ、サーバ、担当者の知識など)
  • リスク評価:脅威(例:漏えい、改ざん)と脆弱性(例:古いソフト)を洗い出し、影響と発生確率を評価
  • リスク対応の決定:対策を実施してリスクを低減する、受容する、移転(保険など)する、回避する
  • 実行と運用:決めた対策を現場で運用する
  • 点検と改善:監査や評価で効果を確認し、改善する(PDCA)
簡単な例:顧客データベースを守る場合
  • 資産:顧客データベース
  • リスク例:不正アクセスによる漏えい(脅威) × 弱い認証(脆弱性)
  • 対策:強い認証、アクセス制御、暗号化、定期バックアップ

FAQ

Q1. ISMSの導入は中小企業でも必要ですか?
A1. 必要性は組織次第です。顧客情報を扱う、取引先に求められる、法令対応が必要などの場合は導入のメリットが大きいです。スモールスタートで範囲を限定して始める企業も多いです。
Q2. 情報セキュリティ方針は誰が作るべきですか?
A2. 経営層が方針を決定し、実務者が具体的な基準や手順を作るのが一般的です。方針は経営のコミットメントを示す役割があります。
Q3. リスクの評価はどうやって点数を出すのですか?
A3. 定量的(損失金額の推定)や定性的(高・中・低のような評価)があります。重要なのは一貫した基準で評価し、優先順位をつけることです。

関連キーワード: ISMS、情報セキュリティ、リスクアセスメント、PDCA、ISO27001、情報資産管理
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について