平成29年度 秋期 ITパスポート試験 公開問題 問68 解説 ISMS情報セキュリティ方針

情報セキュリティ方針は組織の経営方針そのものであり、その策定と承認は経営者（トップマネジメント）の責任であると判断します。

ISMS（情報セキュリティマネジメントシステム）の基本原則において、情報セキュリティは単なる技術的な対策ではなく、経営課題として扱われます。そのため、組織の「何を・どの程度まで守るか」を決定する情報セキュリティ方針は、現場の判断ではなく、全社的な権限を持つトップマネジメントによって策定されなければなりません。

各選択肢を検討します。

アの「同じ業種であれば記述内容は同じである」は誤りです。情報セキュリティ方針は、その組織の規模、事業内容、取り扱う情報の重要度、リスクへの許容度などを踏まえて個別に策定されるべきものです。

イの「全社共通の PC の設定ルールを定めたものである」は誤りです。これは情報セキュリティ方針の下位にある、より具体的な「情報セキュリティ手順」や「運用ルール」に該当します。方針は具体的な設定値ではなく、組織としての姿勢や指針を記述するものです。

エの「部門ごとに最適化された情報セキュリティ方針を, 個別に策定する」は誤りです。ISMSの適用範囲が全社である場合、方針は組織全体で統一されたもの（トップマネジメントが示す単一の方針）が必要です。部門ごとにバラバラな方針が存在すると、組織全体としてのセキュリティ水準や目的が曖昧になってしまいます。

試験対策として、ISMS関連の問題では「トップマネジメントの関与」が非常に重要視されます。PDCAサイクルを回す際、計画（Plan）の策定はもちろんのこと、定期的なマネジメントレビューや資源提供など、すべての段階でトップマネジメントが責任を持つことが求められます。問題文に「誰が関与するか」という問いがあった場合、トップマネジメントが主導する選択肢が正解になるケースが非常に多いです。

• 情報セキュリティマネジメントシステム（ISMS）適合性評価制度 - 一般財団法人 日本情報経済社会推進協会（JIPDEC）
• ISMS（情報セキュリティマネジメントシステム）とは？わかりやすく解説 - 日本アイ・ビー・エム株式会社（IBM）