問題
問84
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
- 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
- 情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。
- 部門の特性に応じて最適化するので、ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
- ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
[出典:ITパスポート試験 令和7年度 問84]
スポンサーリンク
正解
正解は「イ」です。
解説
ISMS(情報セキュリティマネジメントシステム)は、情報資産を守るために組織全体で管理・運用を行う枠組みであり、PDCAサイクルに基づいた継続的な改善が重要な考え方です。
正解の「情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。」は、ISMSの基本的な特徴である「継続的改善」を適切に表しています。
ISMSの目的は、日々変化するリスクや環境の中でも情報セキュリティを維持・向上させることであり、方針や対策は一度きりではなく、状況に応じて見直し、改善を繰り返す必要があります。これを実現するために、経営層のコミットメント(責任と約束)も欠かせません。
例えるなら、健康診断で悪い数値が出たら、その都度食生活や運動習慣を見直して改善していくのと同じです。これが「継続的改善」の考え方です。
ア(機密事項が記載されているので…):
ISMSの方針は全社員に周知することが求められており、範囲を社内に限定する必要はありません。
ウ(部門の特性に応じて最適化するので…):
ISMSは組織全体として取り組むべきものであり、部門ごとに独立して定めるものではありません。
エ(ボトムアップを前提としているので…):
ISMSの方針はトップマネジメントによる承認・策定が原則であり、ボトムアップではありません。
難易度
この問題はISMSの基本的な理念である「継続的改善」に関する理解を問うもので、知識としては初歩的ですが、用語の意味や仕組みを正しく理解していないと誤解しやすい選択肢が含まれています。初心者にとってはやや易しめですが、実務的な感覚も問われる内容です。
スポンサーリンク
用語補足
ISMS(情報セキュリティマネジメントシステム):
組織の情報資産を保護するための管理体制の枠組みで、国際規格ISO/IEC 27001に準拠し、PDCAモデルに基づく継続的改善を前提としています。
継続的改善(Continuous Improvement):
一度決めた方針や手順を終わりとせず、状況や課題に応じて改善し続ける考え方です。品質管理や情報セキュリティにおいて重要な原則です。
対策
ISMSに関する問題では、PDCAサイクルや「継続的改善」「トップマネジメントの責任」といったキーワードを確実に理解しておくことが重要です。関連する国際規格ISO/IEC 27001の基本方針や用語についても学習しておくと、他の問題にも応用できます。
