平成30年度 春期 ITパスポート試験 公開問題 問93 解説 ISMSと方針

この問題は、情報セキュリティマネジメントシステム（ISMS）において最も重要なルールである「情報セキュリティ方針」の策定主体を知っていれば即答できます。ISMSでは、組織の経営責任者が自らセキュリティに対する考え方を示し、組織全体を巻き込んでいく必要があるため、トップマネジメントによる確立が必須条件となります。

情報セキュリティ方針とは 情報セキュリティ方針とは、組織が情報セキュリティに対してどのような姿勢で取り組むのか、どのような目標を掲げるのかを明文化したものです。これは、ISMSを運用するための「憲法」のような存在です。

なぜトップマネジメントが確立する必要があるのか ISMSの運用は、一部の部門や担当者だけでは決してうまくいきません。現場の業務プロセスを変更したり、コストを投じてシステムを導入したりする必要があるため、組織の決定権を持つ経営層がリーダーシップを発揮しなければならないからです。トップマネジメントが「これがうちの方針だ」と明確にすることで、全従業員が迷いなくセキュリティ対策に取り組む体制が整います。

各選択肢が誤りである理由 ア：情報セキュリティ方針は、現状の課題やリスク、ビジネス上のニーズを考慮した現実的なものである必要があります。理想だけを掲げても、実際の業務で実行不可能であれば意味がありません。 イ：情報セキュリティ方針は、組織で働く全従業員や、必要に応じて外部の関係者にも周知しなければなりません。担当者だけに限定してしまうと、その他の従業員は日々の業務で何を優先すべきか分からなくなります。 エ：方針は組織全体で統一されたものであるべきです。部門ごとにバラバラの方針を立ててしまうと、組織全体としてのセキュリティレベルが維持できず、一貫性のない対応が発生するリスクが高まります。

実務における考え方 ITパスポートの試験では「情報セキュリティ方針の策定者は誰か」という問いが非常に頻出します。試験対策としては、組織の重要なルール（方針）に関わるものは、常に「経営陣（トップマネジメント）」が主導するという原則を覚えておきましょう。逆に、運用の細かい手順や日々の監視といった実務的な作業については「部門責任者」や「セキュリティ担当者」が関与するという役割分担のイメージを持っておくと、他の関連問題にも対応しやすくなります。

情報セキュリティマネジメントシステム（ISMS）適合性評価制度（情報処理推進機構） ISO/IEC 27001（情報セキュリティマネジメントシステム）の概要（日本品質保証機構）