令和5年度 ITパスポート試験 公開問題 問94 解説 情報セキュリティ方針
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
- ア 企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
- イ 個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
- ウ 自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの
- エ 情報セキュリティに対する組織の意図を示し,方向付けしたもの ✓ 正答
解説
情報セキュリティ方針は、組織がセキュリティに取り組む際の「最上位の基本ルール」です。選択肢の中から、具体的で狭い範囲の作業手順ではなく、組織全体の進むべき方向性を示しているものを選びます。
情報セキュリティ方針とは、組織の経営層が「私たちはこのように情報セキュリティに取り組む」という意思を表明した文書です。ITパスポート試験では、情報セキュリティマネジメントシステム(ISMS)の枠組みにおける「階層構造」を理解しているかが問われます。
情報セキュリティの規程類は、一般的に以下のような階層構造になっています。
- 情報セキュリティ基本方針(セキュリティポリシー):経営陣が策定する、最も上位の文書。組織全体の方向性や目的を示す。
- 情報セキュリティ対策基準:基本方針に基づき、具体的にどのような対策を講じるべきかの基準を定めたもの。
- 情報セキュリティ実施手順:現場が日々の業務で守るべき具体的な作業手順や設定項目をまとめたもの。
今回の問題でいえば、選択肢エが1番目の「基本方針」を指しています。一方で、選択肢ア(設定値)や選択肢イ(部門ごとの手順)は、3番目の「実施手順」に相当します。また、選択肢ウは特定の二社間での契約や覚書の話であり、組織全体の方針とは異なります。
試験では、この階層構造を混同させるひっかけ問題が頻出します。「経営陣が定めた」「全社的に適用される」といったキーワードがあれば情報セキュリティ方針、「手順」「作業」「設定」「特定の部署」といった具体的な言葉が出てくれば実施手順や対策基準と判断するのが正解への近道です。
実務においても、組織がセキュリティ対策を導入する際は、まず「守るべき原則」である基本方針を策定し、それに合わせて具体的な手順を整備していくというトップダウンのアプローチをとります。この原則がブレてしまうと、現場での対策がちぐはぐになり、重大なセキュリティ事故につながる恐れがあるため、方針の策定は非常に重要なプロセスです。
- 情報セキュリティマネジメントの定義と重要性(JIS Q 27001の概要)
- IPA 独立行政法人情報処理推進機構:組織における情報セキュリティ対策の取組み方
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
