問題本文
ISMSに関する記述のうち,適切なものはどれか。
選択肢
- ア.ISMSのマネジメントサイクルは,セキュリティ事故が発生した時点で開始し,セキュリティ事故が収束した時点で終了する。
- イ.ISMSの構築,運用は,組織全体ではなく,必ず部門ごとに行う。
- ウ.ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
- エ.情報セキュリティ方針は,具体的なセキュリティ対策が記述されたものである。
正解
ウ. ISMSを構築する組織は,保護すべき情報資産を特定し,リスク対策を決める。
解説
ISMS(Information Security Management System)に関する問題. ISMSは組織の情報セキュリティを確立・実施・維持・継続的に改善するための仕組みで,JIS Q 27001(ISO/IEC 27001)が国際規格. PDCAサイクルで継続的に運用し,リスクアセスメントを基に管理策を選定する. ISMSは組織全体で構築するのが基本(部門単位ではなく経営層主導),セキュリティ事故発生時のみ動くものでもなく常時運用される. 情報セキュリティ方針は理念・目標を示す上位文書で具体策の記述ではなく,情報資産特定とリスク対策決定が基本ステップとなる. 「組織全体・継続運用・リスクベース」が3つの鍵.
選択肢ごとの解説
- ア.誤り. ISMSのマネジメントサイクルはPDCAで継続的に運用するもので,セキュリティ事故発生時のみ動くものではない. 事故発生前の予防,発生後の対応,収束後の改善まで一貫して機能する継続的な管理体系で,「事故発生時開始・収束時終了」は事象対応型の誤った捉え方となる選択肢.
- イ.誤り. ISMSは組織全体で構築・運用するのが原則で,「必ず部門ごとに行う」は誤り. もちろん部分的に運用範囲を限定することはあるが,「必ず」と限定するのはISMSの基本姿勢と矛盾する. 全社レベルでの方針と統制が中心で,部門単位の運用が必須要件ではない.
- ウ.正解. ISMSを構築する組織はまず保護すべき情報資産を特定し,それらに対するリスクを洗い出して対策を決定する. 情報資産台帳作成→リスクアセスメント→管理策選定→運用→監視→改善というPDCAサイクルが基本で,「情報資産特定とリスク対策決定」がISMSの中核活動として正しい記述.
- エ.誤り. 情報セキュリティ方針は組織のセキュリティに対する基本姿勢・目標を示す上位文書で,具体的なセキュリティ対策の詳細を記述するものではない. 具体策は対策基準・実施手順書等の下位文書で記述されるため,「方針=具体策記述」と捉えるのは文書階層の誤解にあたる選択肢.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問80