平成28年度 秋期 ITパスポート試験 公開問題 問71 解説 ISMSの基本方針

問題の解き方

この問題は、ISMS（情報セキュリティマネジメントシステム）における文書の役割を理解しているかを問うています。自社で取り扱う情報資産の保護に関する「基本的な考え方」や「取組み方」を示した文書は何か、という点を判断します。

ISMSと情報セキュリティ方針

ISMSは、組織が情報資産を保護するための管理体制を構築・運用・維持・改善していくための仕組みです。その活動の中心となるのが、文書化された情報です。

• 情報セキュリティ方針: これはISMS活動の最上位に位置する文書であり、組織のトップマネジメントが情報セキュリティに対する基本的な考え方、目標、そして組織としてのコミットメントを表明したものです。情報資産の保護に関して、組織がどのような姿勢で臨むのか、どのような原則に基づいているのかといった「基本的な考え方」や、それを実現するための「取組み方」の全体像が示されます。つまり、この問題で問われている「自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したもの」に最も合致するのが情報セキュリティ方針です。

他の選択肢について

各選択肢がISMSにおいてどのような位置づけにあるのかを理解することで、正解が情報セキュリティ方針であることがより明確になります。

• ア BCP (事業継続計画): BCPは、災害や事故などの緊急事態が発生した場合でも、事業を継続できる、あるいは早期に復旧できるための計画です。情報資産の保護もBCPの一部として考慮されることはありますが、BCP全体が「情報資産の保護に関する基本的な考え方や取組み方」そのものを示すものではありません。事業継続という、より広範な目標達成のための一要素です。
• イ ISMS要求事項: ISMS要求事項（例えばISO/IEC 27001規格の要求事項）は、ISMSを構築・運用・維持・改善するための「基準」や「満たすべき条件」を定めたものです。情報セキュリティ方針は、このISMS要求事項を満たすための活動の指針となりますが、要求事項自体は「基本的な考え方」を直接的に示すものではなく、遵守すべきルール集という側面が強いです。
• ウ PDCA: PDCAサイクル（Plan-Do-Check-Act）は、ISMSを含むあらゆるマネジメントシステムを継続的に改善していくための手法です。計画（Plan）、実施（Do）、評価（Check）、改善（Act）という4つの段階を繰り返すことで、システムの有効性を高めます。PDCAは改善の「プロセス」を示すものであり、情報資産保護の「基本的な考え方」や「取組み方」そのものを直接的に示す文書ではありません。

参考リンク

• 情報セキュリティ方針について - 経済産業省
• 事業継続計画（BCP）とは？ - JSA（日本規格協会）
• ISO/IEC 27001:2022 ISMS入門 - QVCnet