問題
問62
ISMS に関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。
- 情報セキュリティ監査基準
- 情報セキュリティ実施手順
- 情報セキュリティ対策基準
- 情報セキュリティ方針
[出典:ITパスポート試験 平成29年度春期 問62]
正解
正解は「エ」です。
解説
ISMS(情報セキュリティマネジメントシステム)において、トップマネジメントが組織の情報セキュリティに対する考え方や基本的な方針を示す公式文書は「情報セキュリティ方針」です。これは、組織が情報セキュリティをどのように捉え、どのような目標を達成しようとしているのかを明確にし、全従業員に周知するための羅針盤のようなものです。
例えば、会社が「お客様の情報を最も大切にする」という姿勢を社内外に示すことで、情報漏えいを防ぎ、信頼を維持するための土台を築きます。この方針に基づいて、具体的なルールや手順が定められていくイメージです。
ア(情報セキュリティ監査基準):
情報セキュリティ監査基準は、情報セキュリティが適切に管理されているかを評価するための基準であり、トップマネジメントの考え方や基本原理を示す文書ではありません。
イ(情報セキュリティ実施手順):
情報セキュリティ実施手順は、具体的な情報セキュリティ対策を行うための詳細な手順を定めたもので、基本方針の後に策定されるものです。
ウ(情報セキュリティ対策基準):
情報セキュリティ対策基準は、どのような対策を行うべきかの具体的な基準であり、組織の基本的な考え方を示すものではありません。
難易度
この問題の難易度は、ISMSの基本的な構成要素を理解していれば比較的解きやすいでしょう。しかし、ISMS関連の用語が複数提示されているため、それぞれの役割や位置付けを混同してしまうと難しく感じることがあります。特に、方針、基準、手順といった言葉の違いを正確に把握しているかがポイントになります。
用語補足
ISMS(Information Security Management System):
ISMSは、情報セキュリティを管理するための組織的な仕組みのことです。会社の機密情報や顧客データなどを守るために、どのようなリスクがあるかを確認し、対策を計画・実行・評価・改善していく一連のプロセスを指します。例えば、お客様の大切な個人情報を安全に扱うために、会社全体でルールを作り、それを守っていくためのシステムを構築することです。
トップマネジメント:
トップマネジメントとは、企業や組織の最高責任者層(社長、役員など)のことです。彼らが組織全体の方向性を決定し、重要な意思決定を行います。情報セキュリティにおいては、トップマネジメントが方針を定め、資源を配分することで、組織全体でセキュリティ対策を推進するリーダーシップを発揮します。
情報セキュリティ方針:
情報セキュリティ方針は、組織が情報セキュリティに対してどのような考え方で臨むのか、どのような目標を達成するのかをトップマネジメントが表明する最も上位の公式文書です。例えるなら、会社の情報セキュリティに関する「憲法」のようなもので、これに基づいて具体的な「法律(基準)」や「規則(手順)」が作られていきます。
情報セキュリティ監査基準:
情報セキュリティ監査基準は、組織の情報セキュリティ対策が適切に実施され、有効に機能しているかを評価するためのガイドラインです。例えば、テストで良い点数を取るための勉強法が「情報セキュリティ実施手順」だとすると、そのテストがきちんと採点されているかをチェックする「採点基準」のようなものです。
対策
この問題は、ISMSにおける文書体系の理解がポイントです。特に、「情報セキュリティ方針」がトップマネジメントによって定められる最も上位の文書であり、組織の基本理念や方向性を示すものであることを覚えることが重要です。他の選択肢は、その方針に基づいて具体的な活動を行うための下位の文書や活動なので、それぞれの位置付けを階層的に理解しておきましょう。
