ITパスポート 令和5年度 問94:securityに関する問題
ISMSにおける情報セキュリティ方針に関する記述として,適切なものはどれか。
- a企業が導入するセキュリティ製品を対象として作成され,セキュリティの設定値を定めたもの
- b個人情報を取り扱う部門を対象として,個人情報取扱い手順を規定したもの
- c自社と取引先企業との間で授受する情報資産の範囲と具体的な保護方法について,両社間で合意したもの
- d情報セキュリティに対する組織の意図を示し,方向付けしたもの正答
AI解説(初心者・標準・上級)
理解度に合わせて3レベルの解説を無料で読めます。
答えは d です。
情報セキュリティ方針とは、会社が「うちはセキュリティをこう考え、こういう方向で守ります」と一番上で宣言する“看板”のようなもの。dの「組織の意図を示し、方向付けしたもの」がまさにそれです。
👉 覚え方:方針=「会社のトップが出す“守り方の宣言”」。細かいやり方ではなく“方向”を示す。
ほかの選択肢:a 製品の設定値を決めたもの/b 個人情報の取扱い手順/c 取引先との合意。これらは細かいルールや個別の取り決めで、“一番上の宣言”ではありません。
なぜこれが正解か
正解は d。情報セキュリティ方針(基本方針)は、ISMSの最上位文書で、経営層が情報セキュリティに対する組織の意図・姿勢・方向性を示し、社内外に宣言するもの。具体的な設定値や手順ではなく“方向付け”を担う点がポイント。
各選択肢の解説
- a:製品ごとのセキュリティ設定値=対策基準や手順書(下位文書)の話。
- b:個人情報の取扱い手順=特定業務の手順書であり、最上位の方針ではない。
- c:取引先との情報資産の保護に関する個別の合意(契約・覚書)で、組織全体の方針ではない。
覚え方・ひっかけ注意
セキュリティ文書は3階層。基本方針(なぜ・方向性)→対策基準(何を)→実施手順(どうやって)。本問の「組織の意図・方向付け」は最上位の基本方針。a・b・cは下位の“具体的なルール”に当たるひっかけ。
理論的背景
情報セキュリティ方針(基本方針)はISO/IEC 27001(ISMS要求事項規格)の箇条5.2「方針」で明確に要求される文書であり、トップマネジメント(経営層)が策定・承認・コミットする最高位のセキュリティ文書である。同規格の要求事項として、基本方針は「組織の目的に対して適切であること」「情報セキュリティ目標の設定のための枠組みを含むこと」「適用される法規制要求事項・契約上の義務の充足へのコミットメント」「継続的改善へのコミットメント」を含む必要がある。ISMS文書体系は一般に3層で構成される:第1層「基本方針(ポリシー)」は組織全体の方向性・意図・推進体制・適用範囲を宣言する(「なぜ・何のために守るか」)。第2層「対策基準(スタンダード)」は守るべきルール・基準の詳細(「何を・どこまで守るか」)。第3層「実施手順(プロシージャ・ガイドライン)」は具体的な作業の方法・手順(「どのようにして守るか」)。基本方針の対外公開は必須ではないが、ステークホルダー(取引先・顧客・監査機関)への信頼性表明として多くの組織がWebサイト等で公開する。
実務での使われ方
ISMS認証取得(JIS Q 27001認証・ISO 27001認証)においては、認証審査の最初のステップとして基本方針の内容審査が行われ、経営層の署名・承認日・版番号の確認が審査員により実施される。実際の基本方針文書には一般的に「目的・背景」「適用範囲(どの組織・システム・拠点に適用するか)」「遵守義務(法規制・契約への準拠)」「推進体制(CISO・情報セキュリティ委員会の設置)」「教育・訓練方針」「継続的改善の確約」「関連方針・基準への参照」が含まれる。基本方針の下位文書として実務では「アクセス制御方針」「暗号化方針」「リモートワーク方針」「クラウド利用方針」「インシデント対応方針」等の個別テーマ別方針が整備されるが、これらもすべて基本方針の「方向付け」に従う派生文書である。年次のマネジメントレビューで基本方針の妥当性・有効性を経営層が見直し、必要に応じて改訂することがISMS継続審査の要件でもある。
試験での位置づけ
情報セキュリティ方針はITパスポートのISMS分野で最頻出テーマの一つであり、「基本方針の定義」と「下位文書(対策基準・手順書)との違い」を識別させる問題が定型化している。本問の4選択肢は「設定値(対策基準)」「手順書(個別手順)」「契約・合意(SLA・NDA)」「方向付け(方針)」という異なる文書種別を並べており、「最上位の宣言文書」がどれかを理解しているかを問う。近年の出題では、ISMSとプライバシーマーク(JIS Q 15001)の違い、ISMSとITIL(ITサービス管理)の違いも混同を誘う選択肢として登場している。基本情報技術者では適用宣言書(SoA)・内部監査プロセス・マネジメントレビューの役割、リスク所有者の概念、ISO 27001:2022の主要改訂点(脅威インテリジェンス管理策の追加等)まで問われる。
選択肢の発展補足
選択肢aの「セキュリティ製品の設定値を定めたもの」は「対策基準(第2層)」の中の「技術的設定基準」や「セキュリティ構成管理方針」に相当する文書である。例えば「パスワードの最低長8文字・英数字混在必須」「スクリーンロックは5分無操作後」といった具体的な設定値・数値基準が記載される。これは基本方針から委任された具体的なルールであり、基本方針の「方向付け」よりも詳細な「規定」である。選択肢cの「取引先との合意」はNDA(秘密保持契約)・SLA(サービス品質保証)・DPA(データ処理契約)等の二者間契約文書であり、組織全体の方針ではなく特定の取引関係における合意事項を定めるものである。GDPR(EU一般データ保護規則)では個人データを第三者委託する際に「データ処理委託契約(DPA: Data Processing Agreement)」の締結を義務づけており、このような契約がGDPR第28条に基づく義務履行の証拠となる。基本方針と個別契約は、組織の情報セキュリティガバナンスの全体像の中で相互補完的な役割を担う異なる文書種別であることを理解しておくと、実務・試験の両面で役立つ知識となる。
出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和5年度 問94/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。