令和3年度 ITパスポート試験 公開問題 問96 解説 情報セキュリティ方針

情報セキュリティ方針は、組織がセキュリティに対してどう取り組むかを内外に示す憲法のようなものです。この問題は「組織の状況に合わせて作る」という基本原則を理解していれば正解できます。各選択肢を判断する際は、経営陣の意図と組織の実態が反映されているかを基準にしましょう。

情報セキュリティ方針の役割と重要性

情報セキュリティ方針とは、組織の経営陣が情報セキュリティに取り組む意思を表明する文書です。ITパスポート試験では、この方針が単なる形式的な書類ではなく、以下の要素を備えていることが重視されます。

まず、自社の状況に合わせる必要があります。IT企業と製造業、あるいは個人情報を多く扱うサービス業では、守るべき資産や想定される脅威が異なります。そのため、自社の事業内容、組織の構造、そして抱えている情報資産のリスク特性を反映させなければなりません。

また、環境の変化に応じて見直すことも不可欠です。サイバー攻撃の手口や法規制、組織の規模は常に変化するため、一度定めたら不変ではなく、定期的な見直し（PDCAサイクルの回付）が必要です。選択肢アが誤りである理由はここにあります。

さらに、社外への公開も大切な役割の一つです。方針を内外に宣言することで、取引先からの信頼を得たり、従業員に対する意識付けを行ったりします。社外秘として隠すものではないため、選択肢ウも不適切です。

方針が使われる場面

この知識は、情報セキュリティマネジメントシステム（ISMS）の文脈でよく問われます。企業がセキュリティ対策を行う際、現場の担当者が勝手に判断するのではなく、経営者が定めた「情報セキュリティ方針」という上位のルールに基づき、具体的な対策基準や実施手順が作成されます。

試験では、経営者主導であること、組織全体に浸透させること、そして継続的に改善することがキーワードとして頻出します。情報資産を守るためには、ルール作りから始まり、それを守るための教育、実際の運用、そしてチェックというサイクルが重要であることを押さえておきましょう。

• 情報セキュリティ方針の策定と運用（総務省 国民のための情報セキュリティサイト）