令和元年度 秋期 ITパスポート試験 問84 解説 情報セキュリティポリシ

情報セキュリティポリシは、組織全体で情報を守るためのルールを体系化したものです。この問題は、ポリシを構成する階層構造の役割を理解しているかを問うています。正解を選ぶための判断根拠は、最上位の文書には抽象的で本質的な目標が書かれ、下位に行くほど具体的で実行可能な内容になるという階層のルールです。

情報セキュリティポリシの階層構造

情報セキュリティポリシは、大きく分けて以下の3階層で構成されます。

1. 基本方針（セキュリティポリシ）：最上位文書です。経営層が情報セキュリティに取り組むという意志を内外に表明するものであり、組織の目的や責任範囲など、抽象度の高い内容が記されます。
2. 対策基準（スタンダード）：基本方針を具体化するためのルールです。何をどの程度まで守るべきかという基準を定めます。例えば、パスワードの長さや更新頻度のルールなどがここに該当します。
3. 実施手順（プロシージャ）：最下位の文書です。具体的な作業手順書やマニュアルを指します。誰が、いつ、どのようなツールを使って作業を行うかといった詳細な操作方法が書かれます。

なぜ他の選択肢は不適切なのか

イの「具体的で詳細な手順」は実施手順に該当します。ウの「費用」は経営計画や予算管理の領域であり、セキュリティの基本方針には記載しません。エの「具体的な個々の情報資産」については、資産管理台帳や対策基準の中で扱うべき内容であり、組織としての姿勢を示す基本方針に羅列するのは不適切です。

試験での活用と出題の傾向

ITパスポート試験では、情報セキュリティポリシの階層に関する知識は非常に頻出です。特に「基本方針」と「実施手順」の役割が逆転した記述が正誤判定のポイントとしてよく使われます。

問題のパターンとして、ある具体的な内容（パスワードの桁数、廃棄ルール、経営者の署名など）を提示し、それがどの階層に位置すべきかを選ばせる形式が一般的です。上位階層になればなるほど「方針・理念・目的」といった言葉が並び、下位階層になるほど「手順・マニュアル・規定」といった言葉が並ぶという特徴を覚えておけば、迷わず選択できます。

• 情報セキュリティポリシ（Wikipedia）