令和4年度 ITパスポート試験 公開問題 問85 解説 情報セキュリティポリシ

情報セキュリティポリシの3層構造における階層と役割を理解していれば、迷わず選択肢アを選べます。基本方針がトップダウンの意思表示であり、下に行くほど具体的になるという関係性を押さえましょう。

情報セキュリティポリシの構成要素

情報セキュリティポリシは、組織が情報資産を守るために作成するルールを体系化したものです。一般的に、以下の3層で構成されます。

1. 基本方針（ポリシー） 組織の情報セキュリティに対する考え方や姿勢を示す最も上位の文書です。トップマネジメント（経営層）が策定し、「なぜ情報セキュリティに取り組むのか」「どのような姿勢で臨むのか」という組織の意思を宣言するものです。具体的な手順までは書きません。

2. 対策基準（スタンダード） 基本方針に基づいて、具体的にどのようなルールを守るべきかを定めた文書です。「パスワードは何文字以上にする」「持ち出しは許可制にする」といった、セキュリティ要件や判断基準を指します。

3. 実施手順（プロシージャ） 対策基準を満たすために、担当者が現場で具体的にどのような作業を行えばよいかを記したマニュアルです。「誰が」「いつ」「どのように」操作や設定を行うかという手順が詳細に記述されます。

問題の選択肢を読み解くポイント

この構造は「上位から下位へ具体化する」というルールが重要です。

選択肢ア：正解です。トップマネジメントが組織全体の方向性を示し、それが後の対策基準や実施手順の拠り所となります。

選択肢イ：誤りです。実施手順は「作業の手順を記録したもの（過去の記録）」ではなく、「作業を実行するためのルール（未来の手順書）」です。

選択肢ウ：誤りです。「ISMSを策定するための基準」ではなく、組織のセキュリティを守るための具体的なルール（基準）そのものです。

選択肢エ：誤りです。対策基準は事故後の対応だけではなく、日々の運用ルールを定めたものです。事故対応のみを記述したものは「緊急時対応マニュアル」などに相当します。

実務における活用

試験問題だけでなく、実際の企業でもこの3層構造は重視されています。例えば、社内規定で「パスワードの定期変更を廃止する」という対策基準に変更があった場合、それに基づき「PCの設定変更手順」という実施手順を書き換える必要があります。このように、基本方針が変われば基準が変わり、基準が変われば手順が変わるという連動性を意識しておくことが、セキュリティ担当者としての重要なスキルになります。

• 情報セキュリティマネジメントシステム（ISMS）の概要（一般社団法人日本情報経済社会推進協会）
• ITパスポート試験ドットコム：情報セキュリティポリシ