平成21年度 秋期 ITパスポート試験 問56 解説 情報セキュリティポリシー

情報セキュリティポリシーの問題は、その役割と目的を理解していれば「組織全体で何をどう守るか」という本質的な選択肢をすぐに選ぶことができます。

情報セキュリティポリシーの役割

情報セキュリティポリシーとは、組織が情報資産を守るために定める「基本方針」や「行動基準」のことです。これは組織における憲法や社則のような存在であり、以下の3つの階層から構成されるのが一般的です。

1. 基本方針：セキュリティに対する組織としての姿勢や、経営陣の意志を明文化したもの
2. 対策基準：基本方針を実現するために守るべき具体的な基準
3. 実施手順：基準に基づいた個別の作業手順

この定義からわかる通り、セキュリティポリシーは「何をすべきか（目的・指針）」を示すものであり、特定のシステムごとの作業手順書とは異なります。また、社内の資産を守るための内部統制の一環であり、外部の承認や脆弱性の開示を義務付けるものではありません。

正誤を判断するための論理

この問題を解くには、選択肢の「情報の取り扱い」と「組織のあり方」に注目します。

まず、アについて。セキュリティポリシーは経営層が策定する内部ルールであり、法律上の株主総会決議事項ではありません。イについては、ポリシーは組織全体で統一された指針である必要があり、システムごとにバラバラだと整合性が取れなくなります。ウについては、脆弱性の公表は攻撃者にヒントを与えることになるため、原則として適切ではありません。

消去法を用いるまでもなく、選択肢エが示す「組織全体での目標達成に向けた指針と判断基準」こそが、情報セキュリティポリシーの目的そのものであると判断できます。

組織運営におけるセキュリティポリシー

この知識は、ITエンジニアや企業のIT担当者が業務を行う際の「拠り所」として機能します。現場で「このデータはどう扱うべきか」「外部との通信にはどの程度の制限が必要か」といった迷いが生じた際、個人の判断ではなく組織が定めたポリシーに立ち返ることで、判断のブレを防ぎ、一貫したセキュリティレベルを維持できます。

試験としては「ポリシーは誰が、どのような目的で、どう運用するものか」という全体像を問うています。ITを扱う企業にとって、セキュリティは個別の技術だけでなく、組織的なガバナンスとして捉える必要があるという教育的意図が含まれています。

参考リンク

• 情報セキュリティポリシーの策定と運用（IPA）
• 【ITパスポート】情報セキュリティポリシーとは？（YouTube）
• 情報セキュリティ基本方針の作成と運用の手引き（Zenn）