ITパスポート過去問 令和4年度(2022年)問85
情報セキュリティポリシを,基本方針,対策基準,実施手順の三つの文書で構成したとき,これらに関する説明のうち,適切なものはどれか。
選択肢
- ア:基本方針は,対策基準や実施手順を定めるためのトップマネジメントの意思を示したものである。
- イ:実施手順は,基本方針と対策基準を定めるために実施した作業の手順を記録したものである。
- ウ:対策基準は,ISMSに準拠した情報セキュリティポリシを策定するための文書の基準を示したものである。
- エ:対策基準は,情報セキュリティ事故が発生した後の対策を実施手順よりも詳しく記述したものである。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
情報セキュリティポリシを基本方針、対策基準、実施手順の三つの文書で構成する場合、基本方針はトップマネジメントが情報セキュリティに対する考え方や方向性を示す文書です。対策基準は基本方針を実現するために組織として守るルールや基準を定め、実施手順は対策基準を日常業務でどのように実行するかを具体的に定めます。したがって、基本方針がトップマネジメントの意思を示すとする「ア」が適切です。
Point
情報セキュリティポリシを構成する、基本方針・対策基準・実施手順の関係(上位から下位へ具体化する流れ)と、それぞれの役割を区別できるようになることをねらいとしています。
解くために必要な知識
この問題を解くには、情報セキュリティポリシを構成する三つの文書の役割と、文書間の具体性の違いを理解している必要があります。
用語の整理
三つの文書の定義
| 用語名 | 意味 |
|---|---|
| 情報セキュリティポリシ | 組織が情報資産を保護するために定める方針やルールを体系化した文書群の総称です。 |
| 基本方針 | トップマネジメントが情報セキュリティに対する考え方、目的、方向性を組織内外に示す最上位の文書です。 |
| 対策基準 | 基本方針を実現するために、組織として守るべきルールや基準を定めた文書です。 |
| 実施手順 | 対策基準を日常業務で実行するために、具体的な手順や操作方法を定めた文書です。 |
具体性の違い
| 文書名 | 記載内容の例 | 対象 |
|---|---|---|
| 基本方針 | 情報資産を適切に保護する、法令を遵守する | 組織全体、社内外 |
| 対策基準 | パスワードの長さ、アクセス権限の付与基準 | 組織共通 |
| 実施手順 | パスワード変更手順、アカウント発行手順 | 現場、担当者 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織が情報の機密性・完全性・可用性を維持するために、方針、体制、手順、継続的改善を含めて運用する管理の仕組みです。 |
問題の解法手順
各文書の位置付けを押さえる
3文書の関係
| 文書 | 位置付け | 書く内容の例 |
|---|---|---|
| 基本方針 | 最上位 | 組織として情報セキュリティに取り組む方針、目的、適用範囲、責任の考え方など |
| 対策基準 | 中位 | 守るべきルールや基準(例:パスワードの長さ、持出し媒体の取扱い、権限付与の条件など) |
| 実施手順 | 最下位 | 対策基準を実行する具体的手順(例:アカウント発行手順、ログ確認手順、媒体の持出し申請手順など) |
選択肢を文書の役割に当てはめる
「基本方針」の説明になっているかを確認する
「トップマネジメントの意思を示したもの」は基本方針の説明として適切です。
「実施手順」の説明が誤っていないかを確認する
実施手順は、策定作業の記録ではなく、運用時に実行する手順を書く文書です。
「対策基準」の説明が誤っていないかを確認する
対策基準は文書作成の基準ではなく、組織が守る対策ルールの基準です。
結論
基本方針をトップマネジメントの意思表明とする「ア」が適切です。
選択肢ごとの解説
- ア:正解
基本方針は、トップマネジメントが情報セキュリティに対する考え方や方向性を示す文書であり、対策基準や実施手順を定める土台となるため適切です。
- イ:不正解
実施手順は、基本方針や対策基準を策定するための作業記録ではありません。対策基準で定めたルールを、日常業務でどのように実行するかを具体的に記述します。
- ウ:不正解
対策基準は、ISMSに準拠した文書を作るための基準ではありません。基本方針を実現するために、組織内で守るべきルールや基準を定める文書です。
- エ:不正解
対策基準は事故発生後の対策だけを詳述する文書ではありません。また、具体的な作業手順の詳細は、対策基準より実施手順に記述するのが一般的です。
まとめ
情報セキュリティポリシを基本方針、対策基準、実施手順の三つの文書で構成する場合、基本方針はトップマネジメントが情報セキュリティに対する考え方や方向性を示す文書です。対策基準は基本方針を実現するために組織として守るルールや基準を定め、実施手順は対策基準を日常業務でどのように実行するかを具体的に定めます。したがって、基本方針がトップマネジメントの意思を示すとする「ア」が適切です。
テクノロジ系 > 技術要素 > セキュリティ
基本方針は、トップマネジメントが情報セキュリティに対する考え方や方向性を示す文書であり、対策基準や実施手順を定める土台となるため適切です。
実施手順は、基本方針や対策基準を策定するための作業記録ではありません。対策基準で定めたルールを、日常業務でどのように実行するかを具体的に記述します。
対策基準は、ISMSに準拠した文書を作るための基準ではありません。基本方針を実現するために、組織内で守るべきルールや基準を定める文書です。
対策基準は事故発生後の対策だけを詳述する文書ではありません。また、具体的な作業手順の詳細は、対策基準より実施手順に記述するのが一般的です。