問題
問73
情報セキュリティマネジメントシステムを構築した企業において、情報セキュリティ方針を改訂したことを周知する範囲として、適切なものはどれか。
- 機密情報を扱う部署の従業員
- 経営者
- 全ての従業員及び関連する外部関係者
- セキュリティ管理者
[出典:ITパスポート試験 平成28年度春期 問73]
正解
正解は「ウ」です。
解説
情報セキュリティ方針は、組織全体で情報セキュリティを確保するための基本的なルールであり、その改訂は組織の全員に影響を与えます。そのため、方針の改訂が行われた際には、組織の活動に関わる全ての人がその内容を理解し、遵守できるように周知することが不可欠です。これには、企業内の従業員だけでなく、業務委託先や協力会社など、組織の情報資産を取り扱う可能性がある外部関係者も含まれます。
例えば、会社で新しく「機密情報をUSBメモリに保存しない」というルールができた場合、このルールは社員だけでなく、業務で機密情報を扱う外部の業者にも伝えなければ、情報漏洩のリスクを完全に防ぐことはできません。情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO 27001でも、情報セキュリティは組織全体で取り組むべき課題とされており、方針の周知は広範囲にわたるべきであると規定されています。
ア(機密情報を扱う部署の従業員):
情報セキュリティ方針は、機密情報を扱う部署だけでなく、組織全体で情報資産を守るためのものです。特定の部署に限定して周知することは、情報セキュリティ対策として不十分です。
イ(経営者):
経営者は情報セキュリティ方針の策定や承認において重要な役割を担いますが、方針を理解し、それに基づいて行動する必要があるのは経営者だけではありません。全ての従業員に周知することが求められます。
エ(セキュリティ管理者):
セキュリティ管理者は情報セキュリティ方針の推進や管理の中心となる人物ですが、方針を遵守し、情報セキュリティを確保する責任は組織全体にあります。管理者だけに周知しても、組織全体のセキュリティレベル向上には繋がりません。
難易度
この問題は、情報セキュリティマネジメントシステム(ISMS)の基本的な考え方を理解していれば、比較的容易に解答できます。ISMSでは、情報セキュリティは組織全体で取り組むべき課題であるという視点が非常に重要です。特定の部署や個人に限定せず、情報資産に関わるすべての人に周知するという常識的な判断が求められるため、初心者の方でも落ち着いて考えれば正解を導き出せるでしょう。
用語補足
情報セキュリティマネジメントシステム(ISMS):
組織が情報セキュリティを効果的に管理するための仕組みのことです。例えば、会社が「お客様の個人情報は大切に扱う」という目標を立てた場合、その目標を達成するために「誰が、何を、どのようにするのか」というルールや手順を決め、それを継続的に改善していく活動全般を指します。ISO 27001という国際規格に基づいて構築・運用されます。
情報セキュリティ方針:
組織が情報セキュリティをどのように考え、どのような取り組みをするのかを明確にした、組織の最高責任者が定める公式な文書です。例えば、「当社の情報資産は厳重に管理し、不正アクセスや情報漏洩を許さない」といった、情報セキュリティに関する基本的な考え方や方向性を示すものです。
周知:
広く知らせること、みんなに知ってもらうことです。例えば、学校の先生が「来週の遠足は雨天決行です」という連絡を、生徒全員とその保護者に伝えるようなイメージです。情報セキュリティ方針の場合は、関係者がその内容を理解し、遵守できるように周知することが重要です。
外部関係者:
企業や組織と直接の雇用関係はないものの、業務を通じて組織の情報資産を取り扱う可能性のある第三者のことです。例えば、ウェブサイトの開発を委託している会社の社員や、清掃業者、警備員なども含まれる場合があります。これらの関係者にも、組織の情報セキュリティ方針を理解してもらう必要があります。
対策
情報セキュリティマネジメントに関する問題では、「組織全体」や「継続的改善」といったキーワードが解答のポイントとなることが多いです。情報セキュリティ方針やルールは、関わる全ての人が認識し、実践することで効果を発揮するという基本原則を理解しておきましょう。特に、情報セキュリティの対象は従業員だけでなく、業務に関わる外部の協力会社なども含まれることに注意が必要です。用語の意味を正確に把握し、全体的な視点で考えることが解答の鍵となります。
