問題
問68
全社を適用範囲として ISMS を導入する場合の情報セキュリティ方針に関する記述のうち、適切なものはどれか。
- 同じ業種であれば記述内容は同じである。
- 全社共通のPCの設定ルールを定めたものである。
- トップマネジメントが確立しなければならない。
- 部門ごとに最適化された情報セキュリティ方針を、個別に策定する。
[出典:ITパスポート試験 平成29年度秋期 問68]
正解
正解は「ウ」です。
解説
ISMS(情報セキュリティマネジメントシステム)を導入する際、情報セキュリティ方針は組織の情報セキュリティに対する基本的な考え方や目標を示す最上位の文書です。これは、組織の経営層であるトップマネジメントが責任をもって確立し、その意思を組織全体に表明する必要があります。
なぜなら、情報セキュリティは単なるIT部門だけの問題ではなく、組織全体の経営リスクに関わる重要な課題だからです。トップマネジメントが主導することで、情報セキュリティ対策に必要な予算や人材などの資源が適切に確保され、組織全体で一貫した取り組みを進めることができます。
例えば、会社の社長が「お客様の情報を守ることは会社の最重要課題である」と明確に宣言し、そのための具体的な方向性を示すことで、全ての従業員が情報セキュリティの重要性を認識し、日々の業務で意識するようになるのです。これは、ISMSの国際規格であるISO/IEC 27001でも明確に求められている要件です。
ア(同じ業種であれば記述内容は同じである。):
同じ業種であっても、各組織の規模、事業内容、保有する情報資産、リスク状況はそれぞれ異なります。そのため、情報セキュリティ方針は個々の組織の実情に合わせて独自に策定する必要があります。
イ(全社共通のPCの設定ルールを定めたものである。):
情報セキュリティ方針は、組織全体の情報セキュリティに関する広範な原則、目的、責任、枠組みを定めるものであり、PCの設定ルールはその具体的な対策の一部に過ぎません。方針はもっと上位の概念です。
エ(部門ごとに最適化された情報セキュリティ方針を、個別に策定する。):
情報セキュリティ方針は、組織全体で統一された方向性を示すために、まず全体として確立されるべきものです。部門ごとに個別に策定すると、組織全体として一貫性のない情報セキュリティ対策になってしまうリスクがあります。個別の部門ルールは全体方針の下で策定されます。
難易度
この問題は、情報セキュリティマネジメントシステム(ISMS)の基本的な概念と、情報セキュリティ方針の重要性を理解していれば比較的解きやすい問題です。特に、情報セキュリティ方針が組織の最上位の指針であり、経営層(トップマネジメント)の強力なコミットメントが必要であるという原則を知っているかどうかがポイントになります。他の選択肢は、情報セキュリティ方針の定義や役割と照らし合わせることで、誤りだと判断できるでしょう。
用語補足
ISMS:
Information Security Management System(情報セキュリティマネジメントシステム)の略で、組織が情報資産(データやシステムなど)を適切に管理し、保護するための仕組みのことです。例えば、会社の顧客情報を守るために、「誰が、何を、どのように保護するのか」という一連のルールや手順を決め、それを継続的に改善していく活動全体を指します。ISO/IEC 27001という国際規格が有名です。
情報セキュリティ方針:
組織が情報セキュリティに関してどのような姿勢で取り組み、何を達成しようとしているのかを示す、経営層が承認する最上位の文書です。例えば、「お客様の個人情報は決して外部に漏らさない」という会社の基本的な約束事を宣言するものです。この方針に基づいて、具体的なルールや手順が作られます。
トップマネジメント:
組織の最高経営層、つまり社長や役員など、組織全体の意思決定に責任を持つ人々のことです。情報セキュリティにおいては、情報セキュリティ方針を確立し、資源を割り当て、組織全体に情報セキュリティの重要性を周知徹底する責任があります。
PCの設定ルール:
組織内のPCを安全に利用するために定められた具体的な規則のことです。例えば、「PCのパスワードは8文字以上で英数字記号を組み合わせる」「USBメモリは会社の承認を得てから使用する」といった細かな取り決めがこれに該当します。情報セキュリティ方針の下位に位置する具体的な対策の一つです。
対策
この問題はISMSの基本概念、特に情報セキュリティ方針の性質と、その策定におけるトップマネジメントの役割を理解しているかが問われています。情報セキュリティ方針は組織全体の情報保護の柱となるものであり、PC設定のような個別具体的なルールや、部門ごとの独自ルールとは異なります。情報セキュリティは経営課題の一つであり、経営層の責任とコミットメントが不可欠であることを理解することが重要です。国際規格であるISO/IEC 27001の要求事項を学ぶことが、この種のITガバナンスや情報セキュリティマネジメントに関する問題を解く上で有効な対策となります。
