ITパスポート 2016年 秋期 問71
問題文
企業におけるISMSの活動において、自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したものはどれか。
選択肢
ア:BCP
イ:ISMS要求事項
ウ:PDCA
エ:情報セキュリティ方針(正解)
🔒 解説は解答すると表示されます
企業におけるISMSの活動において、自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したものはどれか。【ITパスポート 解説】
正解の理由
情報資産の保護に関する「基本的な考え方や取組み方」を示すのは、組織の方針を示す文書です。これに該当するのが エ の「情報セキュリティ方針」です。
情報セキュリティ方針は、組織が情報(顧客情報や機密資料、システムなどの情報資産)をどう守るかについて、経営層が示す最上位の指針です。範囲(どの情報資産を対象にするか)、目標、責任の所在、遵守事項などを明文化します。方針があることで、具体的な手順や管理(ルール作り、教育、技術対策など)に一貫性が生まれます。
(補足用語)
- ISMS(Information Security Management System:情報セキュリティマネジメントシステム) — 組織が情報を保護するための仕組み全体を指します。
解法ステップ
- 問題文で強調されている語句を探す:「基本的な考え方」「取組み方」「自社で取り扱う情報資産の保護」。
- これらは「方針」や「考え方」を示す文書の意味合い。まず「方針」に該当する選択肢を探す。
- 各選択肢が何を指すかを短く確認する(BCP、ISMS要求事項、PDCA、情報セキュリティ方針)。
- 「基本的な考え方や取組み方」を最も直接示すのは「方針」であると判断する(よって エ が正解)。
選択肢別の誤答解説
-
ア: BCP(Business Continuity Plan:事業継続計画)
BCPは災害や事故などで事業が止まったときの「継続・復旧の計画」です。情報資産を守るための対応や手順(例:バックアップ、代替設備の立上げ)を含みますが、「基本的な考え方や方針」を示す文書ではありません。したがって問の趣旨とは異なります。 -
イ: ISMS要求事項
「ISMS要求事項」とは、例えばISO/IEC 27001(国際的な情報セキュリティの規格)に定められた要件など、システムや運用が満たすべき具体的な要求です。方針よりも詳細で規格準拠のための要件群であり、「基本的な考え方や取組み方」を直接示す文書ではありません。 -
ウ: PDCA(Plan-Do-Check-Act:計画・実行・評価・改善のサイクル)
PDCAは改善の方法論(プロセス)です。情報セキュリティ活動を継続的に改善するために使いますが、「何をどう考えるか」を示す方針そのものではありません。 -
エ: 情報セキュリティ方針
組織の情報保護に関する最上位の考え方や取組み方を定める文書です。範囲・目標・経営のコミットメント・責任者などを規定します。したがって設問の「基本的な考え方や取組み方」を示す答えとして最も適切です。
よくある誤解
-
「BCPが方針だ」と思う誤解
BCPは具体的な復旧行動や手順を記した計画です。方針(基本的な考え方)とは役割が違います。方針が「何を重視するか」を示し、BCPは「実際にどうするか」を示します。 -
「PDCAが答えだ」と思う誤解
PDCAは運用や改善の流れを示す枠組みです。良い活動にはPDCAが必要ですが、「基本的な考え方を示す文書」自体ではありません。 -
「ISMS要求事項=方針」と混同する誤解
要求事項は規格やルールの細かな基準です。方針はそれらを運用するための理念や方針表明で、上位の位置づけになります。
補足コラム
情報セキュリティ方針に含める典型的な項目(簡潔に)
- 適用範囲:どの組織・情報資産が対象か
- 目的・方針表明:情報を守る理由と基本姿勢(例:機密性・完全性・可用性の確保)
- 経営層のコミットメント:方針の責任者と承認者
- 役割と責任:誰が何をするかの大枠
- 法令・契約の遵守:守るべき外部ルールの明示
- 継続的改善:PDCAによる見直しの宣言
方針は上層部が承認し、社内に周知して運用の基礎にします。具体的な手順書やチェックリスト、技術的対策(アクセス制御、暗号化など)は方針に基づいて作られます。
FAQ
Q1: 情報セキュリティ方針は誰が作るべきですか?
A1: 経営層が策定・承認するのが原則です。経営のコミットメントがあることで、組織全体の実行力が高まります。
A1: 経営層が策定・承認するのが原則です。経営のコミットメントがあることで、組織全体の実行力が高まります。
Q2: 方針と手順書の違いは何ですか?
A2: 方針は「何を重視するか」「どんな姿勢か」を示す上位文書。手順書は「具体的にどうやるか」を示す文書です。両方が揃って初めて運用が成り立ちます。
A2: 方針は「何を重視するか」「どんな姿勢か」を示す上位文書。手順書は「具体的にどうやるか」を示す文書です。両方が揃って初めて運用が成り立ちます。
Q3: ISMS(情報セキュリティマネジメントシステム)との関係は?
A3: 情報セキュリティ方針はISMSの最上位文書です。ISMSは方針を基に具体的な管理策や運用を行い、PDCAで改善していきます。
A3: 情報セキュリティ方針はISMSの最上位文書です。ISMSは方針を基に具体的な管理策や運用を行い、PDCAで改善していきます。
関連キーワード: ISMS、情報セキュリティ方針、情報資産、BCP、PDCA、ISO/IEC 27001、セキュリティポリシー

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

