ITパスポート過去問 令和7年度(2025年)問84
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア:機密事項が記載されているので,伝達する範囲を社内に限定する必要がある。
- イ:情報セキュリティ対策は一度実施したら終わりではないので,ISMSを継続的に改善するコミットメントを含める必要がある。
- ウ:部門の特性に応じて最適化するので,ISMSを適用する組織全体ではなく,部門ごとに定める必要がある。
- エ:ボトムアップを前提としているので,各職場の管理者によって承認される必要がある。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティ方針は、ISMSの運用における基本方針として、トップマネジメントが承認し、組織内に周知する文書です。また、ISMSは運用結果を踏まえて見直しを繰り返すため、方針には継続的改善に取り組むことを明記する必要があります。したがって、継続的改善のコミットメントを含めるとする「イ」が適切です。
Point
この問題は、ISMSにおける情報セキュリティ方針に求められる要件を確認することがねらいです。特に、方針の承認主体がトップマネジメントであることと、ISMSの継続的改善を方針に含める必要があることを区別して理解できるかが問われています。
解くために必要な知識
この問題を解くには、ISMSにおける情報セキュリティ方針の要件についての理解が必要です。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織の情報セキュリティを、方針・手順・体制などで体系的に管理する仕組みです。ISO/IEC 27001で要求事項が規定されています。 |
| 情報セキュリティ方針 | 組織の情報セキュリティに関する基本的な考え方や方向性を示す方針です。トップマネジメントが確立します。 |
| 継続的改善 | ISMSを運用した結果や環境変化を踏まえ、仕組みを継続して改善することです。 |
| コミットメント | 組織として責任を持って取り組むことの表明です。 |
| トップマネジメント | 組織を最高位で指揮・管理する経営層です。 |
| ISO/IEC 27001 | ISMSの国際規格で、情報セキュリティ方針や継続的改善などの要求事項が規定されています。 |
問題の解法手順
各選択肢の整理
選択肢ごとの判断
| 選択肢 | 内容 | 正誤 | 理由 |
|---|---|---|---|
| ア | 伝達範囲を社内に限定する | ✕ | 方針は組織内に伝達し、必要に応じて利害関係者が入手可能にする扱いであり、社内限定とはされません。 |
| イ | 継続的改善のコミットメントを含める | ○ | ISO/IEC 27001の要求事項として、方針に継続的改善へのコミットメントを含めることが求められます。 |
| ウ | 部門ごとに定める | ✕ | 情報セキュリティ方針は、ISMSの適用範囲に対する組織の方針として定めるもので、部門ごとに定める必要があるとはいえません。 |
| エ | 各職場の管理者が承認する | ✕ | 情報セキュリティ方針はトップマネジメントが確立し、承認するものです。 |
選択肢ごとの解説
- ア:不正解
情報セキュリティ方針は、組織内の関係者が共通に守るために周知する文書です。「機密事項が記載されているので社内に限定する必要がある」という説明は、方針の性質と一致しません。
- イ:正解
ISMSは一度対策を実施して終わりではなく、運用結果を踏まえて見直し、改善を繰り返します。そのため、情報セキュリティ方針にはISMSを継続的に改善するコミットメントを含める必要があり、適切です。
- ウ:不正解
部門の特性に応じて手順や管理策の詳細を決めることはありますが、情報セキュリティ方針は組織として一貫して定めるのが原則です。「部門ごとに定める必要がある」は不適切です。
- エ:不正解
情報セキュリティ方針はトップマネジメントが承認します。各職場の管理者による承認としてしまうと、全体方針としての承認主体が一致しないため不適切です。
まとめ
情報セキュリティ方針は、ISMSの運用における基本方針として、トップマネジメントが承認し、組織内に周知する文書です。また、ISMSは運用結果を踏まえて見直しを繰り返すため、方針には継続的改善に取り組むことを明記する必要があります。したがって、継続的改善のコミットメントを含めるとする「イ」が適切です。
テクノロジ系 > 技術要素 > セキュリティ
情報セキュリティ方針は、組織内の関係者が共通に守るために周知する文書です。「機密事項が記載されているので社内に限定する必要がある」という説明は、方針の性質と一致しません。
ISMSは一度対策を実施して終わりではなく、運用結果を踏まえて見直し、改善を繰り返します。そのため、情報セキュリティ方針にはISMSを継続的に改善するコミットメントを含める必要があり、適切です。
部門の特性に応じて手順や管理策の詳細を決めることはありますが、情報セキュリティ方針は組織として一貫して定めるのが原則です。「部門ごとに定める必要がある」は不適切です。
情報セキュリティ方針はトップマネジメントが承認します。各職場の管理者による承認としてしまうと、全体方針としての承認主体が一致しないため不適切です。