平成31年度 春期 ITパスポート試験 問85 解説 情報セキュリティポリシ

この問題は、情報セキュリティポリシの階層構造を理解しているかを問うものです。基本方針、対策基準、実施手順の役割分担を上位から順にイメージすることで、正解のウを即座に導き出すことができます。

情報セキュリティポリシの階層構造と役割

情報セキュリティポリシは、組織がどのような姿勢でセキュリティに取り組むかを定めた文書群です。この文書は、抽象度の高いものから順に以下の3層で構成されます。

1. 基本方針 組織の経営者が、情報セキュリティに対する姿勢や目的をまとめたトップの宣言です。何を守るのか、なぜ守るのかという方向性を示しますが、具体的な作業内容には触れません。

2. 対策基準 基本方針を実現するために、組織として何をしなければならないかというルールを定めたものです。セキュリティ要件を具体化し、全社員が遵守すべき基準として明確にします。

3. 実施手順 対策基準に基づき、担当者が実際に作業を行うための手順書です。ツールの操作方法や具体的な設定手順など、現場レベルで迷わないための実務マニュアルを指します。

選択肢の検討

ア：基本方針は経営者が策定するものであり、従業員が作成するものではありません。経営の意思決定に直結するため、組織のトップが責任を持って発行します。

イ：基本方針は組織全体の姿勢を宣言するものであり、個別の事故対応マニュアルは、より具体的な運用規定や危機管理マニュアルの役割です。

ウ：これが正解です。実施手順は、対策基準というルールを現場の担当者が実行に移すためのマニュアルであり、具体的な手順が記述されています。

エ：対策基準は、基本方針に基づいて作成されます。実施手順の内容を決めるのが対策基準ですので、役割の順序が逆になっています。

実務と試験でのポイント

この分野は、試験において「方針」「基準」「手順」の順に、抽象度が高く概念的な内容から、具体的に作業可能なレベルへ落とし込まれていくというポイントを押さえておくことが重要です。

実際のビジネス現場でも、これら3層が適切に整理されていないと、セキュリティ対策が形骸化したり、現場で何をすればよいか混乱が生じたりします。ITパスポートでは、それぞれの文書の作成責任者が誰か（経営層か、現場の担当者か）、どの程度具体的なのかという観点から出題されることが多いため、それぞれの役割をセットで記憶しておきましょう。

IPA 独立行政法人情報処理推進機構 情報セキュリティの解説 情報セキュリティマネジメント（ISMS）の概要（IT用語辞典 e-Words） 組織における情報セキュリティ対策の考え方（IPA 独立行政法人情報処理推進機構）