ITパスポート 2018年 秋期 問70
問題文
ISMSにおける情報セキュリティ方針の説明として、適切なものはどれか。
選択肢
ア:個人情報を取り扱う事業者が守るべき義務を規定するものである。
イ:情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
ウ:情報セキュリティに対する組織の意図を示し、方向付けをするものである。(正解)
エ:保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。
🔒 解説は解答すると表示されます
ISMSにおける情報セキュリティ方針の説明【ITパスポート 解説】
正解の理由
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が情報の安全を管理するための枠組みです。その中で「情報セキュリティ方針」は、組織のトップが情報セキュリティに対して何を重視し、どの方向に進むかを示す文書です。つまり方針は「意図(what)と方向付け(direction)」を示すもので、具体的な手順や技術設定ではありません。したがって選択肢の中では、情報セキュリティに対する組織の意図を示し方向付けをするもの、すなわち ウ が正しい説明です。
(補足)方針は経営層のコミットメントを示す役割があり、リスク対応の基本線や目標の枠組みを定めます。実際の作業手順や設定値は、方針に従って作られる「手順(procedure)」や「基準(standard)」です。
解法ステップ
- 問題文のキーワードを探す:「情報セキュリティ方針」「説明として適切」。
- 「方針(policy)」の意味を確認する:組織の意図・方針とは方向づけや原則を示すもの。
- 各選択肢と比較する:
- 法律上の義務(個人情報保護)は方針とは別。
- 手順や設定値は方針より具体的で下位の文書。
- 方針に当てはまる説明を選ぶと、ウ が合致する。
この流れで考えれば迷わずに正答できます。
選択肢別の誤答解説
-
ア: 個人情報を取り扱う事業者が守るべき義務を規定するものである。
→ これは「個人情報保護法」など法令やそれに基づく社内規程の説明に近いです。情報セキュリティ方針は法令遵守を含むことはありますが、方針自体が法的義務を規定するものではありません。 -
イ: 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
→ これは「手順書(procedure)」や運用マニュアルの説明です。手順書は具体的な作業方法やチェックリストを示しますが、方針はそれらを導く上位の考え方です。 -
ウ: 情報セキュリティに対する組織の意図を示し、方向付けをするものである。
→ 正解。方針は経営層の意思表明であり、目標や基本的な考え方(例:リスクを受容する基準、守るべき基本的価値)を定めます。 -
エ: 保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。
→ これは「設定基準(configuration standard)」や「セキュリティ設定値」の説明です。技術的な設定は方針より詳細で、方針に基づいて定められます。
よくある誤解
-
「方針=ルールの細かい指示」
→ 方針は大きな方向や原則です。具体的な作業手順や細かいルールは別の文書に落とし込みます。 -
「方針は現場が守るためのマニュアルだ」
→ マニュアルは現場向け、方針は経営や組織全体の意図を示します。現場のマニュアルは方針に従って作成します。 -
「方針はITだけのもの」
→ 情報セキュリティ方針は業務プロセス、紙資料、人の行動などIT以外の範囲も含みます。
補足コラム
- ISO/IEC 27001(国際標準)は情報セキュリティマネジメントの代表的な規格です。この規格でも「情報セキュリティ方針(Information security policy)」の策定とトップマネジメントの承認が求められます。
- 方針に含める典型項目:目的と範囲、トップのコミットメント、守るべき基本原則、役割と責任、継続的改善の姿勢。短く明確に記述することが重要です。
- 方針の例(簡潔な文言):
- 「当社は情報資産(情報資産=価値ある情報やシステムなど)を識別し、適切に保護することを経営の優先事項とする。」
- 「社内全員が情報セキュリティを遵守し、継続的に改善することを約束する。」
FAQ
Q: 情報セキュリティ方針は誰が作るのですか?
A: 原則として経営層が内容を承認します。実務は情報セキュリティ担当やリスク管理部門が作成し、経営が最終承認します。
A: 原則として経営層が内容を承認します。実務は情報セキュリティ担当やリスク管理部門が作成し、経営が最終承認します。
Q: 方針はどのくらいの頻度で見直すべきですか?
A: 目安は年1回以上、または重大な組織変更や法令改正、重大インシデント発生時に見直します。
A: 目安は年1回以上、または重大な組織変更や法令改正、重大インシデント発生時に見直します。
Q: 方針は外部に公開すべきですか?
A: 組織によります。公開することで顧客や取引先に安心感を与えますが、内部用に限定するケースもあります。公開範囲は方針で明確にします。
A: 組織によります。公開することで顧客や取引先に安心感を与えますが、内部用に限定するケースもあります。公開範囲は方針で明確にします。
関連キーワード: ISMS、情報セキュリティ方針、情報セキュリティポリシー、ISO/IEC 27001、リスクアセスメント、情報資産管理、セキュリティ基準、手順書

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

