問題本文
ISMSに関するトップマネジメントの考え方や基本原理を示す公式な文書はどれか。
選択肢
- ア.情報セキュリティ監査基準
- イ.情報セキュリティ実施手順
- ウ.情報セキュリティ対策基準
- エ.情報セキュリティ方針
解説
ISMSにおける情報セキュリティ方針(Security Policy)はトップマネジメントが定める組織全体のセキュリティに関する基本方針・考え方・原則を示す最上位文書。「なぜセキュリティが必要か」「組織としてどう取り組むか」を宣言する文書で社内外に公開される。情報セキュリティ対策基準は方針を実現するための具体的な遵守事項を定めた中間文書。情報セキュリティ実施手順は対策基準の実施方法・作業手順を定めた下位文書。監査基準はシステム監査の判断基準であり別の概念。
選択肢ごとの解説
- ア.誤り。情報セキュリティ監査基準はシステム監査において監査人が用いる判断基準・監査規範を定めたもの。トップマネジメントの組織セキュリティに対する考え方や基本原則を示す文書ではない。
- イ.誤り。情報セキュリティ実施手順は対策基準を受けて各業務での具体的な作業手順・操作手順を定めた下位文書。ISMSの3層文書構造のうち最も具体的な実務レベルの文書であり、トップの基本方針ではない。
- ウ.誤り。情報セキュリティ対策基準は基本方針を受けて遵守すべき具体的な規則・基準を定めた中間文書。基本方針の下位文書であり、トップマネジメントの基本的考え方・原則を示す最上位文書ではない。
- エ.正しい。情報セキュリティ方針はトップマネジメントが策定する組織のセキュリティに関する基本的考え方・取組み姿勢・原則を宣言した最上位の公式文書。ISMSの基盤となり、社内外への宣言としての役割を持つ。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問62