平成26年度 秋期 ITパスポート試験 公開問題 問61 解説 情報セキュリティポリシ

情報セキュリティポリシの階層構造を理解する

この問題は、情報セキュリティポリシの構成と、その適用の範囲に関する理解を問うものです。正解を導くための判断基準は「組織全体で一貫した指針を持っているか」という点にあります。情報セキュリティポリシは経営者が表明する組織の憲法のようなものであるため、部門ごとにバラバラであってはならず、全社で統一した方針が必要であると判断します。

情報セキュリティポリシの三階層構造

情報セキュリティポリシは、一般的に「基本方針」「対策基準」「実施手順」の三階層で構成されます。それぞれの役割を理解することがこの問題の攻略ポイントです。

1. 基本方針（ポリシー） 組織の経営者が策定し、情報セキュリティへの取り組み姿勢や目的を定めたものです。組織全体で統一し、経営者の承認を得て、全従業員が守るべき最も上位の規範となります。

2. 対策基準（スタンダード） 基本方針を実現するために、組織が何をすべきかを具体化したものです。例えば「パスワードは8文字以上にする」といったルールがこれに該当します。組織内の部門ごとに業務内容や扱う情報の重要度が異なる場合、リスクに応じて基準を使い分けることは可能です。

3. 実施手順（プロシージャ） 対策基準を実際に実行するための具体的な作業手順です。「パスワード変更の操作画面で〇〇と入力する」といった、現場で作業するためのマニュアルを指します。

なぜ基本方針は統一しなければならないのか

情報セキュリティポリシの目的は、組織として守るべき情報の安全性を担保することにあります。もし部門ごとに「基本方針」が異なれば、組織としてのセキュリティレベルにばらつきが生じ、セキュリティ事故が発生した際の責任の所在や対応プロセスが曖昧になります。

経営者が掲げる基本方針は、組織のいわば「約束事」です。部門間の壁を超えて、組織全体が目指すべきゴールを一つに揃えることで、初めて全社的なセキュリティ体制が構築できます。個別の対策基準や実施手順が状況に合わせて柔軟に変化しても、その根底にある基本方針が一貫していれば、組織全体のセキュリティ規律は維持されます。

この考え方は、企業で実務を行う際にも非常に重要です。システム導入やセキュリティルールの見直しを行う際には、常に「組織として掲げている基本方針と矛盾していないか」を確認する姿勢が求められます。

各選択肢の解説

アについて：基本方針は経営者が策定しますが、詳細な「規則や手順」まで全てを経営者が決めるのは現実的ではありません。現場の状況をよく知る担当部署が策定するのが一般的です。

イについて：情報セキュリティポリシの中には、外部に公開すべきもの（セキュリティに対する姿勢を示す基本方針など）と、公開してはいけないもの（詳細なシステム構成や具体的な手順など）があります。全てを公開すると、攻撃者にシステムの弱点をさらすことになり非常に危険です。

ウについて：基本方針は組織が直面するリスクや経営環境に合わせて自ら策定すべきものです。他社の雛形をそのまま流用することは、自組織の現状と乖離するリスクがあるため不適切です。

参考リンク

• 情報セキュリティ基本方針の策定（IPA 独立行政法人 情報処理推進機構）
• 【実務解説】セキュリティポリシーの策定と運用のポイント（Zenn）
• 情報セキュリティマネジメントシステム（ISMS）の基本と国際規格（JIS Q 27001）