平成30年度 秋期 ITパスポート試験 公開問題 問70 解説 ISMS情報セキュリティ方針

この問題は「上位概念」と「下位概念」の区別ができるかどうかが解く鍵となります。情報セキュリティ方針とは、組織が何を目指すのかという「目的や姿勢（意図と方向付け）」を掲げる最高位の文書です。具体的な手順や数値の設定などは、この方針を受けて作成される「下位文書」の役割であるため、これらを除外することで正解を導き出せます。

情報セキュリティ方針とは 組織全体で情報を守るために、どのような姿勢で取り組むのかを経営陣が宣言するものです。これはISMS（情報セキュリティマネジメントシステム）の構築において、最初に行うべき最重要のステップです。組織の目的と整合性が取れており、全従業員が何をすべきかの基準となるため、抽象的でありながらも、すべての情報セキュリティ対策の土台（いわば「憲法」のようなもの）となります。

文書階層のイメージ 情報セキュリティの文書群は、役割に応じて階層構造になっています。

1. 情報セキュリティ方針（基本方針）：組織としての意志や方向性を示す。最上位文書。
2. 情報セキュリティ規定：方針に基づき、具体的なルールや役割分担などを定める。
3. 情報セキュリティ手順書：規定を遵守するための具体的な作業手順や操作方法を定める。詳細なマニュアル。

試験での活用と注意点 この問題のパターンとして、選択肢に具体的な手順（サーバの設定値や、特定の作業手順）が含まれている場合、それらは「方針」ではなく「手順書」や「設定基準」に該当するため、誤りであると即座に判断できます。

ITパスポート試験では、情報セキュリティ関連の文書を混同させないことが重要です。「方針＝方向性（意図）」「手順書＝やり方（具体）」という対比で覚えておきましょう。また、個人情報の取り扱いについては「個人情報保護方針（プライバシーポリシー）」という別の文書で規定されるため、選択肢の「個人情報を取り扱う事業者が守るべき義務を規定するもの」は、情報セキュリティ方針の定義としては不適切となります。

情報セキュリティマネジメントシステム（ISMS）の概要（IPA 独立行政法人 情報処理推進機構） 情報セキュリティ方針の策定（JIS Q 27001に関連する情報など・日本品質保証機構）