平成22年度 春期 ITパスポート試験 問61 解説 情報セキュリティ文書

この問題は、情報セキュリティマネジメントにおける文書の階層構造を理解しているかを問うものです。正解を導くには、ピラミッドの頂点（抽象度が高い）から底辺（具体性が高い）へ向かって、以下の順序で並んでいることを記憶しておきましょう。

1. 基本方針（ポリシー）
2. 対策基準（スタンダード）
3. 実施手順（プロシージャ）

したがって、正解は「イ」となります。

文書体系の階層構造と役割

組織において情報セキュリティを確保するためには、まず「何を大切にするか」「どのような姿勢で取り組むか」という理念が必要です。これが一番上の層にあたります。そこから順に、理念を達成するために守るべきルール（基準）、そして具体的な作業手順へとブレイクダウンされていきます。

• 基本方針：組織のトップが示す、セキュリティに対する経営理念や姿勢です。最も抽象的で、組織全体の方向性を定めます。
• 対策基準：基本方針を具体化するために、「何をすべきか」というルールを定めたものです。セキュリティ要件が記述されます。
• 実施手順：対策基準に従って、「誰が、いつ、どのような手順で作業を行うか」を定めたものです。最も具体的で、日々の運用マニュアルに近い性質を持ちます。

思考プロセス

試験でこの形式の問題に遭遇した際は、ピラミッドの図をイメージしてください。頂点は面積が狭いため、「全体を俯瞰する大きな方針」が入り、底辺は面積が広いため、「現場の具体的な作業手順」が収まるという構造です。

迷ったときは「方針（方針・考え方）→ 基準（ルール）→ 手順（具体的なやり方）」という流れを頭の中で唱えてみましょう。選択肢のうち、一番上が「基本方針」で、一番下が「実施手順」になっているものを選べば、必然的に選択肢は「イ」に絞られます。

実務における活用

この知識は、単なる暗記項目ではなく、企業のセキュリティ組織がどのように動いているかを理解する基盤となります。例えば、皆さんが就職や転職をした際、情報セキュリティ研修などで「基本方針」を読まされることがあるはずです。そこで、「これは理念なので今は抽象的だが、実際にはこの下に詳細な基準や手順があるはずだ」と構造的に理解できるようになります。

組織がセキュリティ事故を防ぐためには、トップの指示（方針）だけでは不十分であり、現場のオペレーション（手順）まで一貫性を持って落とし込まれていることが重要です。この文書体系を整えることは、ISMS（情報セキュリティマネジメントシステム）などの国際的な規格においても必須の考え方となっています。

参考リンク

• 【ITパスポート】情報セキュリティの文書体系（基本方針・対策基準・実施手順）
• セキュリティポリシー策定の勘所（Zenn）
• 情報セキュリティマネジメントシステム（ISMS）とは（IPA：情報処理推進機構）