ITパスポート 2017年 秋期 問68
問題文
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち、適切なものはどれか。
選択肢
ア:同じ業種であれば記述内容は同じである。
イ:全社共通のPCの設定ルールを定めたものである。
ウ:トップマネジメントが確立しなければならない。(正解)
エ:部門ごとに最適化された情報セキュリティ方針を、個別に策定する。
🔒 解説は解答すると表示されます
全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述【ITパスポート 解説】
正解の理由
ISMS(Information Security Management System:情報セキュリティを管理する仕組み)を組織全体に適用する場合、情報セキュリティ方針は組織の最上位である経営層が策定・確立する必要があります。経営層を指す「トップマネジメント(組織の方針決定と資源配分を担う最上位の責任者たち)」が方針を示すことで、組織全体の方向性や責任の所在が明確になり、資源の確保や全社的な遵守が可能になります。したがって、選択肢のうち正しいのは ウ です。
(補足)ISO/IEC 27001 等の国際規格でも、方針はトップマネジメントの確立とコミットメントを要求しています。方針は「何を目指すか・どのような姿勢で守るか」を示す上位文書であり、具体的な操作手順や設定は下位の規程や標準で定めます。
解法ステップ
- 問題文のキーワードを拾う:「全社を適用範囲」「ISMS」「情報セキュリティ方針」。
- ISMSでの「方針」の役割を思い出す。方針は組織の方向性やコミットメントを示す上位文書である。
- 「誰が決めるべきか」を考える。方針は組織全体に影響するため、最終責任を持つトップ(経営層)が確立する必要がある。
- 各選択肢と照らし合わせて、方針の性質に合うものを選ぶ。業種で一律になるものではなく、PC設定のような具体的ルールでもない。したがって ウ を選ぶ。
選択肢別の誤答解説
-
ア: 同じ業種であれば記述内容は同じである。
誤りです。同業種でも組織の規模、扱う情報の種類、業務プロセス、リスク許容度は異なります。方針は自組織のリスクと目的に合わせて策定されます。 -
イ: 全社共通のPCの設定ルールを定めたものである。
誤りです。PCの設定ルールは「標準(スタンダード)」や「手順書(手続き)」などの下位文書に該当します。方針は「情報を守る姿勢や経営の方針」を示すものです。 -
ウ: トップマネジメントが確立しなければならない。
正しいです。方針は経営的な決定と資源配分が必要なため、トップマネジメントの確立とコミットメントが前提です。 -
エ: 部門ごとに最適化された情報セキュリティ方針を、個別に策定する。
誤りです。全社を適用範囲とするISMSでは、組織全体としての方針をトップが示します。部門ごとの詳細なルールや手順は作成できますが、それらは全社方針と整合している必要があります。
よくある誤解
-
「方針=細かい設定」だと考える誤解
方針は「何を守るか・どのような姿勢で守るか」を示す上位文書です。パソコンのパスワード長や暗号方式などの詳細は方針ではなく「標準」「手順」で定めます。 -
「同業種だから方針も同じ」と思う誤解
業種は参考になりますが、組織固有のリスクや法的義務、扱う情報の機密性により方針は変わります。業種で丸暗記するのは危険です。 -
「トップは署名だけすればよい」と考える誤解
トップマネジメントには方針策定だけでなく、資源配分、役割の明確化、方針の周知・レビューなどの責任とコミットメントが求められます。
補足コラム
- ISO/IEC 27001(情報セキュリティ管理の国際規格)では、トップマネジメントの責任として「情報セキュリティ方針の確立と、その実行の推進」が明記されています。方針は短くても構いませんが、組織の目的、目標、遵守すべき要求事項(法律や契約)を反映する必要があります。
- 文書の構造イメージ:
情報セキュリティ方針(上位:方向性)→ 情報セキュリティ目標 → 標準/規程(例:PC設定標準)→ 手順書/ガイドライン(具体的運用) - 実務例(簡単な方針一文):「当社は顧客情報の機密性を確保するため、全社的な情報セキュリティ体制を構築し、継続的に改善します。経営陣は必要な資源を提供します。」
FAQ
Q1: トップマネジメントとは具体的に誰ですか?
A1: 会社では代表取締役や社長、役員など、組織の方針決定と資源配分を行う最上位層を指します。中小企業では経営者本人が該当します。
A1: 会社では代表取締役や社長、役員など、組織の方針決定と資源配分を行う最上位層を指します。中小企業では経営者本人が該当します。
Q2: 部門ごとのルールは必要ですか?
A2: 必要です。部門ごとの業務に応じた手順や基準は作成しますが、それらは全社方針と整合している必要があります。
A2: 必要です。部門ごとの業務に応じた手順や基準は作成しますが、それらは全社方針と整合している必要があります。
Q3: ISMSはIT部門だけのものですか?
A3: いいえ。ISMSは組織全体の仕組みです。人事や総務、営業など全ての部門が関わります。方針も全社的に示されます。
A3: いいえ。ISMSは組織全体の仕組みです。人事や総務、営業など全ての部門が関わります。方針も全社的に示されます。
関連キーワード: ISMS、情報セキュリティ方針、トップマネジメント、ISO27001、セキュリティ方針、標準と手順、経営責任

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

