ITパスポート 2019年 秋期 問84
問題文
内外に宣言する最上位の情報セキュリティポリシに記載することとして、最も適切なものはどれか。
選択肢
ア:経営陣が情報セキュリティに取り組む姿勢(正解)
イ:情報資産を守るための具体的で詳細な手順
ウ:セキュリティ対策に掛ける費用
エ:守る対象とする具体的な個々の情報資産
🔒 解説は解答すると表示されます
最上位の情報セキュリティポリシーに記載する内容【ITパスポート 解説】
正解の理由
最上位の「情報セキュリティポリシー(policy:組織としての方針)」は、組織が外部や社内に向けて宣言する基本的な方針です。ここで重要なのは、方針が「何をするか」や「どのような姿勢で臨むか」を示すことです。経営陣が情報セキュリティに取り組む姿勢は、組織全体の方向性や責任の所在を明確にするため、最上位ポリシーに最もふさわしい内容です。したがって、選択肢の中では ア が適切です。
※用語補足:情報資産(情報そのものや、その情報を保存・処理するシステムや設備)、経営陣(会社のトップや経営層)、ポリシー(方針)
解法ステップ
- 「最上位(さいじょうい)」=一番上のレベル、つまり基本方針を指すと確認する。
- 「内外に宣言する」=外部にも公開するため、機密すぎる詳細は不適切と判断する。
- 各選択肢を「レベル(方針か手順か)」と「公開に適しているか」で評価する。
- 経営の姿勢や責任表明のような高いレベルの宣言が最もふさわしいため ア を選ぶ。
短く言うと:最上位=方針=経営のコミットメント、これが正解の判断基準です。
選択肢別の誤答解説
-
ア:経営陣が情報セキュリティに取り組む姿勢
- 理由:組織の方針や責任、目的を示すもので、内外に宣言するポリシーに最適。ガバナンス(組織運営の仕組み)やコンプライアンス(法令順守)への姿勢もここで示す。
-
イ:情報資産を守るための具体的で詳細な手順
- 誤りの理由:手順や作業指示は運用レベルの文書(手順書、ワークフロー)に書く内容。ポリシーは「何を目指すか」を示し、詳細な操作手順は別文書に分ける。
-
ウ:セキュリティ対策に掛ける費用
- 誤りの理由:費用は予算や計画の話であり、外部公開すると競争上・交渉上不利になる可能性がある。ポリシーは方針表明が目的であり、金額の明示は通常不要か不適切。
-
エ:守る対象とする具体的な個々の情報資産
- 誤りの理由:資産の一覧(資産台帳)は資産管理のための内部資料であり、詳細を公開するとセキュリティ上のリスクになる。ポリシーでは「情報資産を保護する」などの総括的表現にとどめる。
よくある誤解
-
「ポリシーは技術的対策の細かい説明を書くべき」
- 実際はポリシーは高レベルの方針です。技術的対策は別の手順書や基準に記載します。
-
「公開するなら何でも書いて透明性を出せば良い」
- 透明性は重要ですが、詳細な資産情報や具体的な費用などは公開すべきではありません。公開する内容は方針と責任範囲に限定します。
-
「社長が書けばそれで良い」
- 経営陣のコミットメントが必要ですが、策定は関係部門と協議して現実的な方針にすることが重要です。
補足コラム
-
ポリシーの階層イメージ(簡単な例)
- ポリシー(方針):経営陣のコミットメント、目的、適用範囲(例:「当社は情報資産の保護を最優先とし、継続的に改善します」)。
- 基準・規程(基準):どのレベルで守るか(例:アクセス権の基準、パスワードの最低要件)。
- 手順書・運用マニュアル:具体的な操作方法や作業手順。
-
短いポリシー例(社外公開向け)
当社は、顧客情報を含む情報資産の保護を経営上の重要課題と認識し、法令順守および継続的改善を行います。経営陣はこの方針の実行責任を負い、必要な資源を確保します。 -
見直しの目安:年1回以上、法令や事業環境の変化があれば随時見直す。
FAQ
Q1: ポリシーは誰が署名すべきですか?
A1: 経営陣(代表取締役や取締役など)が署名し、責任を明確にするのが一般的です。署名はコミットメントの証になります。
A1: 経営陣(代表取締役や取締役など)が署名し、責任を明確にするのが一般的です。署名はコミットメントの証になります。
Q2: ポリシーは社外にも公開すべきですか?
A2: 多くの場合は公開します。顧客や取引先に対する信頼性の表明になるためです。ただし、公開する範囲は方針文に限定し、詳細な内部情報は公開しません。
A2: 多くの場合は公開します。顧客や取引先に対する信頼性の表明になるためです。ただし、公開する範囲は方針文に限定し、詳細な内部情報は公開しません。
Q3: ポリシーに罰則(違反時の処分)は書くべきですか?
A3: ポリシー自体に細かな罰則を記載する必要はありません。違反時の処分は就業規則や個別の規程で定めるのが一般的です。
A3: ポリシー自体に細かな罰則を記載する必要はありません。違反時の処分は就業規則や個別の規程で定めるのが一般的です。
Q4: 小さな会社でも同じ形で作れば良いですか?
A4: 基本は同じです。規模に応じて内容を簡潔にし、実行可能な体制や手順を整えることが重要です。
A4: 基本は同じです。規模に応じて内容を簡潔にし、実行可能な体制や手順を整えることが重要です。
関連キーワード: 情報セキュリティポリシー、ポリシー階層、情報資産管理、ガバナンス、内部統制

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

