平成29年度 春期 ITパスポート試験 公開問題 問62 解説 ISMSの公式文書

この問題のキーワードは「トップマネジメントの考え方」と「公式な文書」です。ISMS（情報セキュリティマネジメントシステム）において、組織の経営層が「私たちはセキュリティにこう取り組みます」と宣言する最上位の文書は情報セキュリティ方針です。これ以外の選択肢は、この方針を実現するための下位文書であるため、消去法でエが正解となります。

ISMSのドキュメント階層

ISMSでは、セキュリティを確実に運用するために、文書の重み付けを階層構造で管理します。頂点にあるのが情報セキュリティ方針で、その下に具体的なルールが配置されます。

情報セキュリティ方針（最上位） 経営陣が作成し、組織全体としての目的や方向性を定めた宣言書です。従業員全員が守るべき最も基本的な指針であり、組織の内外に対してセキュリティへの姿勢を示す役割を持ちます。

情報セキュリティ対策基準（中位） 方針を具体化するために「何をすべきか」を定めた基準です。例えば「パスワードは定期的に変更する」「入退室を記録する」といったルールがこれに当たります。

情報セキュリティ実施手順（下位） 対策基準を達成するために「誰が、いつ、どのように作業するのか」という具体的な手順書です。マニュアルや作業手順書という位置付けになります。

なぜこの区別が重要なのか

実務の現場では、ルールがバラバラに存在すると統制が取れません。経営層が示す方針という大きな「旗印」があり、その下に具体的な対策（基準）が並び、現場が動くための詳細（手順）があるというピラミッド構造を理解しておくことが重要です。

ITパスポート試験において、この問題はマネジメントの基本概念を問うものです。単に暗記するだけでなく、経営層の役割は「方針の策定」にあり、現場の役割は「手順の実行」にあるという役割分担の視点を持つと、他のISMS関連の問題にも応用しやすくなります。この階層構造を把握しておくことは、企業のセキュリティ管理担当者がどのように組織を動かしているのかという、実務的な理解にも直結します。

情報セキュリティマネジメントシステム（ISMS）の概要（IPA 独立行政法人 情報処理推進機構） ISMSとは？情報セキュリティマネジメントシステムの基礎知識（日立ソリューションズ）