問題本文
ISMSにおける情報セキュリティ方針の説明として,適切なものはどれか。
選択肢
- ア.個人情報を取り扱う事業者が守るべき義務を規定するものである。
- イ.情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
- ウ.情報セキュリティに対する組織の意図を示し,方向付けをするものである。
- エ.保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。
正解
ウ. 情報セキュリティに対する組織の意図を示し,方向付けをするものである。
解説
ISMSにおける情報セキュリティ方針(情報セキュリティポリシー)は、組織が情報セキュリティに関する意図・原則・基本的な姿勢を表明し方向付けをするトップレベルの文書。経営層が承認し組織全体に周知する。下位文書として対策基準(実施すべき管理策の規定)→実施手順書(具体的な実施手順の記述)という3層構造を持つ文書体系。方針は「なぜ・何を目指すか」を宣言するものであり具体的な手順や設定値は下位文書で定める。組織内外への情報セキュリティへの取組み姿勢の表明としても機能する。
選択肢ごとの解説
- ア.誤り。個人情報を取り扱う事業者が守るべき義務・規定は個人情報保護法や関連ガイドラインの説明。外部の法的・規制的文書であり組織が独自に策定するISMSの内部文書(情報セキュリティ方針)ではない。法令遵守はISMSの管理策の一つだが法令自体がISMSの方針文書ではない。
- イ.誤り。情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものは実施手順書(手順レベルの文書)の説明。情報セキュリティ方針は「何を・なぜ目指すか」の宣言(最上位文書)であり、「どうやって実施するか」という具体的な手順を記述する実施手順書とは文書体系の階層が異なる。
- ウ.正解。情報セキュリティ方針は組織の情報セキュリティに対する意図・原則・基本的な方向付けを示す最上位文書。経営層の関与のもと策定され組織内外に公表することが推奨される。ISMSの目的・対象範囲・原則を宣言する文書として、情報セキュリティ管理体制の基礎となる。
- エ.誤り。サーバのセキュリティ設定値(ポート番号・パスワードポリシー・ログ設定等)の具体的規定は実施手順書・セキュリティ設定基準書などの技術的な下位文書レベルの記載内容。情報セキュリティ方針は抽象的な組織の意図と基本方針を示すものであり、具体的な設定値や技術的手順の規定は行わない。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問70