平成27年度 秋期 ITパスポート試験 公開問題 問80 解説 ISMSの定義

解き方のポイント

ISMSは組織的な管理の仕組みを指します。まず「管理のサイクルは継続的であること」「組織全体を対象とすること」「抽象的な方針と具体的な対策は階層が分かれていること」という原則を照らし合わせれば、自ずと正しい選択肢が導き出せます。消去法を使わずとも、情報資産のリスク管理こそがISMSの核であると判断できれば正解に辿り着けます。

ISMSの基本理念：リスクアセスメントの重要性

ISMS（Information Security Management System）は、組織が保有する「情報資産」の機密性・完全性・可用性を維持するために、リスクを評価し、適切な管理策を適用する枠組みです。

選択肢ウが正しい理由は、まさにこのリスクアセスメントのプロセスを正確に言い表しているからです。何を守るべきか（資産の特定）を決め、その資産にどんな脅威や脆弱性があるかを分析し、どう守るか（管理策の選定）を決定する。この一連の流れがISMSの心臓部であり、これを行わなければ適切なセキュリティ対策は打てません。

間違った選択肢から学ぶ運用の原則

アの誤り：マネジメントサイクル（PDCAサイクル）は、事故が発生した時だけ回るものではありません。Plan（計画）、Do（運用）、Check（点検）、Act（改善）を繰り返すことで、セキュリティ水準を継続的に向上させることが目的です。事故対応はPDCAの一部に過ぎません。

イの誤り：部門ごとにバラバラに構築すると、組織全体で統一されたセキュリティレベルを保つことが困難になります。ISMSは「組織全体」のルールとして構築し、全社的なガバナンスを効かせることが基本です。

エの誤り：情報セキュリティ方針（基本方針）とは、組織が何を目的とし、どのような姿勢でセキュリティに取り組むかという「上位の指針」です。具体的な「パスワードは何桁にする」「ファイアウォールをどう設定する」といった具体的な技術的対策や運用手順は、方針の下位にある実施規定や手順書に記述されます。この階層構造を混同しないようにしましょう。

なぜこの知識が重要なのか

実際のビジネス現場において、セキュリティ対策は「予算」と「手間」のトレードオフです。全ての情報資産を完璧に守ろうとすると、業務が回らなくなります。

ITパスポートで問われるのは、この「現実的なバランス」を保つ考え方です。まずは資産を棚卸しして（資産の特定）、リスクが高いものから優先的に守るというISMSの手法は、企業が最小限のコストで最大限の安全を確保するための、極めて合理的かつ実用的な意思決定プロセスなのです。

参考リンク

• 情報セキュリティマネジメントシステム（ISMS）の概要
• 【ITパスポート】ISMSって何？情報セキュリティマネジメントシステムをわかりやすく解説
• ISMSのPDCAサイクルを家庭のセキュリティに当てはめてみた