平成26年度 春期 ITパスポート試験 公開問題 問75 解説 情報セキュリティポリシ

この問題の正解を導くための鍵は、情報セキュリティポリシを構成する3つの階層構造を「上から下へ」という順序で理解しておくことです。基本方針が最も上位にあり、そこから具体的なルールへと落とし込まれていくという大原則を押さえていれば、すぐに正解を選択できます。

情報セキュリティポリシの階層構造

情報セキュリティポリシは、組織全体の方針から現場の細かな作業手順に至るまで、以下の3段階で構成されます。

1. 基本方針（ポリシー）：経営層が策定する、組織としての情報セキュリティに対する姿勢や目的を記した最も上位の文書です。
2. 対策基準（スタンダード）：基本方針に基づき、具体的に何を守るべきか、どのような管理体制をとるかといったルールを定めたものです。
3. 実施手順（プロシージャ）：対策基準に基づき、現場の担当者が具体的な業務の中でどう操作・対応すべきかをマニュアル化したものです。

この階層構造において、上位の文書は下位の文書を決定するための「根拠」となります。したがって、基本方針が変われば、それに従う対策基準や実施手順も修正が必要になります。逆に、現場の手順から勝手に基本方針が作られることはありません。

なぜこの知識が重要なのか

ITパスポート試験においてこの問題が問われる理由は、セキュリティ管理におけるガバナンス（統制）の概念を理解しているかを確認するためです。

実務の現場では、ルールがバラバラに存在していると統制が取れなくなります。例えば、「セキュリティ意識を高めよう」という経営層の基本方針があるからこそ、「パスワードを複雑にする」「USBメモリの使用を禁止する」といった対策基準に説得力が生まれます。もし現場の判断だけでルールが作られてしまうと、組織全体で統一されたセキュリティレベルを維持することができません。

この問題の教育的意図は、上位下達の論理的な流れを理解させることにあります。将来、システム開発や情報管理の現場に携わる際、「なぜこの手順で作業しなければならないのか」という疑問に対し、「基本方針と対策基準に基づいているからだ」と正しく回答できるようになるための基礎知識といえます。

参考リンク

• 情報セキュリティ基本方針の策定（IPA 独立行政法人 情報処理推進機構）
• 【ITパスポート】情報セキュリティポリシの3階層（YouTube動画：ITパスポート試験対策）
• 情報セキュリティマネジメントシステム（ISMS）の構築（Qiita：実務でのポリシー運用事例）