ITパスポート 令和4年度 問85：情報セキュリティ・セキュリティポリシに関する問題

答えは a です。

会社のセキュリティのルールは3段階に分かれます。①基本方針＝社長の「うちはこう守る！」という宣言、②対策基準＝そのための具体的な決まりごと、③実施手順＝実際の作業マニュアル。

つまり①トップの考え → ②ルール → ③やり方、という上から下への流れです。

aは「基本方針はトップの意思を示したもの」と書いてあり、これが正しい説明です。

👉 覚え方：「方針＝社長の宣言 → 基準 → 手順」の順。

ほかは“どの文書が何か”を入れ替えた引っかけです。

なぜこれが正解か

正解は a。情報セキュリティポリシは3階層。最上位の「基本方針」は経営層（トップマネジメント）が組織としての方針・意思を示す文書で、その下の対策基準・実施手順を定める根拠となる。aはこの役割を正しく述べている。

各選択肢の解説

• b 実施手順は「具体的な作業のやり方」を定める文書。作業の記録ではない。
• c 対策基準は「守るべき具体的な基準・規程」。文書作成の基準ではない。
• d 対策基準は事故後対策に限らず、平時から守る基準全般を示す。実施手順より詳しいわけでもない。

覚え方・ひっかけ注意

「基本方針（What/Why＝トップの意思）→ 対策基準（守る基準）→ 実施手順（How＝具体手順）」の3段階を順序で覚える。各文書の役割を入れ替えた選択肢が定番の引っかけ。

理論的背景

情報セキュリティポリシの3階層体系は、ISO/IEC 27001（JIS Q 27001）が規定するISMS（情報セキュリティマネジメントシステム）の文書管理構造と整合する。最上位の基本方針（ポリシ）は経営層（トップマネジメント）がコミットする組織の宣言文書であり、「何を守り、なぜ守るか」という意思と責任範囲を示す。これに対して対策基準（スタンダード）は「何をしなければならないか」という具体的な規則・規程の集合で、パスワード最小長・暗号方式・アクセス制御方針などが含まれる。最下位の実施手順（プロシージャ）は「どのようにするか」という現場レベルの操作マニュアルで、特定のシステム・プロセスに紐付き、運用変更のたびに更新される頻度が最も高い。この3階層はPDCAサイクルと連動し、定期的なレビューと改善が義務付けられている。

実務での使われ方

実際の企業では、基本方針を社内外に公開（Webサイト掲載等）し、対策基準は社内規程として公開範囲を絞り、実施手順は担当者・部署限定で配布するという情報管理が標準的だ。ISMS認証（ISO 27001認証）を取得する企業では、審査機関が3階層の文書体系を確認し、経営層の承認署名・見直し頻度・配布管理の状況を審査する。大規模組織では対策基準の下位に「ガイドライン」を設けて推奨事項を記述する4階層構成をとることもある。クラウドサービス利用時にはサービス提供者のセキュリティポリシとの整合性確認も求められるようになっており、ポリシ管理の重要性はむしろ高まっている。

試験での位置づけ

ITパスポートのマネジメント・セキュリティ分野で毎年問われる定番テーマ。各文書の定義や役割を取り違えた選択肢を見抜く形式が中心で、本問の各選択肢がその典型パターンを網羅している。「基本方針＝経営層の意思表明」というキーワードが正解の核心で、選択肢bの「実施した作業の記録」・選択肢cの「文書の作成基準」・選択肢dの「事後対策の詳細」はいずれも各文書の実際の役割とは異なる説明だ。基本情報技術者・情報処理安全確保支援士では、リスクアセスメントと3階層の関係、各文書の承認者・更新権限・有効期間の管理まで問われる。

選択肢の発展補足

選択肢b（実施手順は作業の手順を記録したもの）：「記録」と「規定（手順書）」は別物。実施手順は「これからどうするか」を定めた前向きな規定文書であり、過去の作業を記録したログや議事録ではない。この混同は試験の定番誤答だ。選択肢c（対策基準はISMSに準拠した文書の基準）：対策基準はISMSが定めるものではなく、各組織が自社のリスク評価に基づいて独自に策定する規程文書だ。ISMSは「どのような内容を定めるべきか」のフレームワークを提供するが、具体的な対策内容は組織ごとに異なる。選択肢d（対策基準は事故後の対策を詳しく記述）：事故発生後の対応はインシデント対応手順（実施手順の一部）に記述される。対策基準は平時から遵守する予防的な規則であり、事故後対策に限定されない。また「実施手順より詳しく」という記述も階層構造と逆になっており誤りだ。