ITパスポート過去問 平成30年度(2018年)問70
ISMSにおける情報セキュリティ方針の説明として,適切なものはどれか。
選択肢
- ア:個人情報を取り扱う事業者が守るべき義務を規定するものである。
- イ:情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
- ウ:情報セキュリティに対する組織の意図を示し,方向付けをするものである。
- エ:保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティ方針は、ISMSにおいてトップマネジメントが定める、情報セキュリティに対する組織の意図と方向性を示す文書です。具体的な作業手順や、サーバ設定値などの技術的な基準を定めるものではありません。したがって、情報セキュリティに対する組織の意図を示し方向付けをするという説明が適切です。
Point
この問題は、ISMSにおける情報セキュリティ方針が何を示す文書かを確認します。方針が示す内容は組織としての目的や方向性であり、法律の義務、手順書の記載内容、技術的な設定値とは役割が異なる点を理解することがねらいです。
解くために必要な知識
この問題を解くには、ISMSにおける文書の階層と、情報セキュリティ方針が何を定める文書かを理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織が情報セキュリティを継続的に管理し、維持し、改善するための仕組みです。要求事項は国際規格ISO/IEC 27001で定められています。 |
| 情報セキュリティ方針 | トップマネジメントが定める、情報セキュリティに対する組織の意図と方向性を示す最上位の文書です。 |
情報セキュリティ方針に書かれやすい内容
-
目的と適用範囲
-
基本原則(例: 法令順守、リスクに基づく管理、継続的改善)
-
役割と責任の考え方
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| 個人情報保護法 | 個人情報を取り扱う事業者が守るべき義務などを定めた法律です。 |
| セキュリティ手順書 | 情報セキュリティ対策を実施するための具体的な作業手順を記載した文書です。 |
| セキュリティベースライン | サーバやOSなどに対して、最低限そろえるべきセキュリティ設定値や基準値をまとめたものです。 |
方針と手順・設定の違い
| 文書・規定の種類 | 主な内容 | 具体性 |
|---|---|---|
| 方針 | 組織としての考え方、目標、方向性 | 低い |
| 規程・基準(例:対策基準、標準) | 守るべきルール、実施すべき対策の要求 | 中程度 |
| 手順書・設定値 | 実際の操作手順、機器やシステムの具体的な設定 | 高い |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 該当する概念 | 正誤 |
|---|---|---|---|
| ア | 個人情報を取り扱う事業者が守るべき義務を規定 | 個人情報保護法の説明 | ✕ |
| イ | 情報管理者が実施する具体的な手順を示す | セキュリティ手順書の説明 | ✕ |
| ウ | 情報セキュリティに対する組織の意図を示し、方向付けをする | 情報セキュリティ方針の説明 | ○ |
| エ | サーバのセキュリティの設定値を規定 | セキュリティベースラインの説明 | ✕ |
選択肢ごとの解説
- ア:不正解
個人情報を取り扱う事業者の義務を規定するのは個人情報保護法です。ISMSの情報セキュリティ方針の説明ではありませんので誤りです。
- イ:不正解
「具体的な手順」を示すのは、情報セキュリティ規程や手順書などの下位文書です。情報セキュリティ方針は、実施手順の詳細ではなく、組織としての基本的な考え方や方向性を示しますので誤りです。
- ウ:正解
情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、活動の目的や方向性の基準となる文書ですので正解です。
- エ:不正解
サーバのセキュリティ設定値を規定するのは、セキュリティベースラインなどの技術的な基準文書です。情報セキュリティ方針が直接、個別の設定値を定めることは一般的ではありませんので誤りです。
まとめ
情報セキュリティ方針は、ISMSにおいてトップマネジメントが定める、情報セキュリティに対する組織の意図と方向性を示す文書です。具体的な作業手順や、サーバ設定値などの技術的な基準を定めるものではありません。したがって、情報セキュリティに対する組織の意図を示し方向付けをするという説明が適切です。
テクノロジ系 > 技術要素 > セキュリティ
個人情報を取り扱う事業者の義務を規定するのは個人情報保護法です。ISMSの情報セキュリティ方針の説明ではありませんので誤りです。
「具体的な手順」を示すのは、情報セキュリティ規程や手順書などの下位文書です。情報セキュリティ方針は、実施手順の詳細ではなく、組織としての基本的な考え方や方向性を示しますので誤りです。
情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し、活動の目的や方向性の基準となる文書ですので正解です。
サーバのセキュリティ設定値を規定するのは、セキュリティベースラインなどの技術的な基準文書です。情報セキュリティ方針が直接、個別の設定値を定めることは一般的ではありませんので誤りです。