ITパスポート過去問 令和5年度(2023年)問94
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
選択肢
- ア:企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
- イ:個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
- ウ:自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの
- エ:情報セキュリティに対する組織の意図を示し,方向付けしたもの
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSの情報セキュリティ方針は、組織のトップマネジメントが情報セキュリティに関して示す基本的な考え方と、組織としての方向性を定めた文書です。個別の手順や製品設定、取引先との合意事項ではなく、組織全体に適用される上位の指針である点がポイントです。
Point
この問題は、ISMSにおける情報セキュリティ方針が何を示す文書かを確認するものです。情報セキュリティ方針が、組織の意図と方向性を示す上位文書であり、手順書や技術基準、契約文書とは役割が異なることを理解しているかが問われています。
解くために必要な知識
この問題を解くには、情報セキュリティ方針の定義と、ISMSにおける文書の位置付けを理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織が情報資産の機密性・完全性・可用性を維持し、継続的に改善するための仕組みです。 |
| 情報セキュリティ方針 | トップマネジメントが承認し、情報セキュリティに関する基本的な考え方、目的、方向性を示す上位文書です。 |
情報セキュリティ方針と、下位文書の関係
情報セキュリティ方針は上位の指針であり、具体的なルールや手順は下位文書として整備されます。
| 種類 | 例 | 内容の粒度 |
|---|---|---|
| 方針 | 情報セキュリティ方針 | 組織としての考え方、方向性を示します。 |
| 規程・基準 | セキュリティ基準、技術基準 | 守るべきルールや基準を定めます。 |
| 手順書 | 個人情報取扱い手順、運用手順 | 実施方法を手順として定めます。 |
| 契約・合意 | 機密保持契約(NDA)など | 取引先など外部との取り決めを定めます。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 個人情報 | 氏名などにより特定の個人を識別できる情報などを指します。 |
| 情報資産 | 組織にとって価値がある情報、およびそれを扱うシステムや媒体などの総称です。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 判断 | 理由 |
|---|---|---|---|
| ア | セキュリティ製品の設定値を定めたもの | 不適切 | 製品ごとの設定値は、設定基準や構成標準、手順書などで扱う内容です。情報セキュリティ方針が定める範囲ではありません。 |
| イ | 個人情報取扱い手順を規定したもの | 不適切 | 個人情報の取扱い手順は、個人情報保護規程や手順書などの内容です。情報セキュリティ方針は対象を個人情報に限定しません。 |
| ウ | 取引先企業との間で保護方法を合意したもの | 不適切 | 取引先との合意は、契約(例:秘密保持契約)や覚書などで定める内容です。情報セキュリティ方針は、組織内の方針として示すのが基本です。 |
| エ | 情報セキュリティに対する組織の意図を示し、方向付けしたもの | 適切 | 情報セキュリティ方針の説明として適切です。 |
結論
情報セキュリティ方針は、組織としての意図と方向性を示す文書なので「エ」が正解です。
選択肢ごとの解説
- ア:不正解
セキュリティ製品の設定値を定めたものは、技術基準や設定基準のような内容であり、組織の意図と方向性を示す情報セキュリティ方針ではありません。
- イ:不正解
個人情報を取り扱う部門の手順を定めたものは、方針に基づいて作られる下位の手順書に当たります。情報セキュリティ方針そのものではありません。
- ウ:不正解
取引先との間で情報資産の範囲や保護方法を合意したものは、契約や合意事項に当たります。組織全体の上位方針ではありません。
- エ:正解
情報セキュリティに対する組織の意図を示し、方向性を定めたものは、ISMSにおける情報セキュリティ方針の説明に当たるため正解です。
まとめ
ISMSの情報セキュリティ方針は、組織のトップマネジメントが情報セキュリティに関して示す基本的な考え方と、組織としての方向性を定めた文書です。個別の手順や製品設定、取引先との合意事項ではなく、組織全体に適用される上位の指針である点がポイントです。
テクノロジ系 > 技術要素 > セキュリティ
セキュリティ製品の設定値を定めたものは、技術基準や設定基準のような内容であり、組織の意図と方向性を示す情報セキュリティ方針ではありません。
個人情報を取り扱う部門の手順を定めたものは、方針に基づいて作られる下位の手順書に当たります。情報セキュリティ方針そのものではありません。
取引先との間で情報資産の範囲や保護方法を合意したものは、契約や合意事項に当たります。組織全体の上位方針ではありません。
情報セキュリティに対する組織の意図を示し、方向性を定めたものは、ISMSにおける情報セキュリティ方針の説明に当たるため正解です。