問題
問93
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
- 企業の現状とは切り離して、目標とする理想形を記述するのがよい。
- 周知は情報セキュリティ担当者だけに限定するのがよい。
- トップマネジメントが確立しなければならない。
- 適用範囲が企業全体であっても、部門単位で制定するのがよい。
[出典:ITパスポート試験 平成30年度春期 問93]
正解
正解は「ウ」です。
解説
情報セキュリティ方針は、組織のトップマネジメントが確立しなければなりません。これは、情報セキュリティへの取り組みが経営層のコミットメントに基づいていることを示し、組織全体として情報セキュリティを重視する姿勢を示すために重要です。単なる理想論ではなく、組織の現状や経営戦略と整合性が取れている必要があり、全社的な適用範囲を持つことが一般的です。また、担当者だけでなく、全従業員への周知徹底が不可欠です。
ア(企業の現状とは切り離して、目標とする理想形を記述するのがよい。):
情報セキュリティ方針は、企業の現状や経営戦略と整合性が取れている必要があります。理想形だけを記述すると、現実離れしたものとなり、実行が困難になる可能性があります。
イ(周知は情報セキュリティ担当者だけに限定するのがよい。):
情報セキュリティ方針は、組織全体で遵守されるべきものであり、情報セキュリティ担当者だけでなく、全従業員が理解し、実践できるように周知する必要があります。
エ(適用範囲が企業全体であっても、部門単位で制定するのがよい。):
情報セキュリティ方針は、組織全体で一貫したセキュリティレベルを維持するために、原則として企業全体で制定されるべきです。部門単位での制定は、整合性が取れなくなる可能性があります。
難易度
この問題は、情報セキュリティマネジメントシステム(ISMS)の基本的な考え方に関する問題です。情報セキュリティ方針の目的や策定プロセスについての知識があれば解答できます。特に、トップマネジメントの関与や全社的な適用範囲といった、ISMSの根幹に関わる部分を理解しているかが問われます。IT未経験者にとっては、ISMSという専門用語に馴染みがないかもしれませんが、一般的な組織運営における方針策定の考え方と結びつけて考えると理解しやすいでしょう。
用語補足
ISMS:
「Information Security Management System」の略で、組織が情報資産を保護するための仕組みのことです。例えば、会社の機密情報や顧客データを守るためのルールや手順を定めたものです。
情報セキュリティ方針:
組織が情報セキュリティをどのように確保していくかを示す、上位の基本的な考え方や目標のことです。会社の経営方針と同様に、組織全体で目指すべき方向性を示します。
トップマネジメント:
組織の経営層のことです。会社の社長や役員などが該当し、組織全体の戦略や方針を決定する責任を負います。
部門単位:
組織を構成する部署や課などの、特定の単位のことです。例えば、営業部、開発部、経理部などが部門にあたります。
対策
この問題は、情報セキュリティマネジメントシステム(ISMS)における情報セキュリティ方針の策定に関する基本的な知識を問うています。正解は、トップマネジメントが方針を確立する必要があるという点です。ISMSの方針は、単なる理想論ではなく、経営戦略と連携し、組織全体で実行可能なものである必要があります。そのため、経営層のコミットメントが不可欠です。対策としては、ISMSの基本原則や、方針策定における重要な要素(経営層の関与、全社展開など)を理解しておくことが有効です。
