問題本文
企業におけるISMSの活動において,自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したものはどれか。
選択肢
- ア.BCP
- イ.ISMS要求事項
- ウ.PDCA
- エ.情報セキュリティ方針
解説
情報セキュリティ方針はISMS(Information Security Management System,情報セキュリティマネジメントシステム)活動の最上位文書で,自社の事業内容・組織特性・情報資産の特徴を踏まえ,情報資産保護の基本的な考え方や取組み方を経営者の責任で策定するもの. 一般に外部にも公開し,従業員・取引先・顧客に対する組織のセキュリティ姿勢を示す. BCPは事業継続計画(災害時等の業務継続方針),ISMS要求事項はISMS構築・運用のための国際規格(ISO/IEC 27001等)の要件,PDCAは継続的改善のためのサイクルで,いずれも組織独自の考え方・取組み方を示す方針文書そのものとは性格が異なる別概念の用語である.
選択肢ごとの解説
- ア.誤り. BCP(Business Continuity Plan)は災害時の事業継続のための計画文書で,情報セキュリティ方針そのものではない. 大規模災害・事故等で業務が止まらないようにする対処計画として事業継続マネジメント(BCM)に属する別文書であり,情報資産保護の基本方針を示す方針文書とは目的・対象が異なる別の文書である.
- イ.誤り. ISMS要求事項はISMS構築・運用のための規格要件(ISO/IEC 27001/JIS Q 27001等)で,自社個別の情報セキュリティ方針そのものではない. 規格は方針策定のために何を備えるべきかという要求事項を提示する側であり,各組織が自社の方針として具体化する対象となる別の文書である.
- ウ.誤り. PDCA(Plan-Do-Check-Act)はマネジメントの継続的改善のためのサイクルで,情報セキュリティ方針そのものを指す用語ではない. 方針を計画→運用→点検→改善する活動の枠組みであり,方針文書とは概念のレイヤが異なる別の用語に位置付けられる活動の進め方の概念である.
- エ.正しい. 自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示すのは情報セキュリティ方針であり,本問の説明に合致するため. 経営者の責任で策定するISMSの最上位文書で,組織のセキュリティ姿勢を内外に示す土台となる方針文書として位置付けられる重要な文書である.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問71