ITパスポート 過去問
令和7年度
問84 (テクノロジ系 問29)
問題文
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
ITパスポート試験 令和7年度 問84(テクノロジ系 問29) (訂正依頼・報告はこちら)
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
- 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
- 情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。
- 部門の特性に応じて最適化するので、ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
- ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
正解!素晴らしいです
残念...
この過去問の解説 (3件)
01
情報セキュリティ方針とは、組織の経営層が定め、全社員に周知する基本方針のことです。
各選択肢をみていきます。
機密事項ではなく情報セキュリティ方針を記載しています。
必要であれば社外に公開することもあるため、本選択肢は不正解です。
環境やリスクは常に変化しているため継続的な改善が必要です。
そのため本選択肢が正解です。
部門ごとに異なる方針を立てると、組織全体の整合性が失われる恐れがあるため、組織全体で一貫して定めます。
そのため本選択肢は不正解です。
経営層が承認するトップダウン型の方針であるため、本選択肢は不正解です。
本問で問われた内容を最後にまとめます。
・情報セキュリティ方針は経営層が承認し、組織全体で一貫して適用します。
・社員全員に周知され、必要に応じて社外にも公開されます。
・環境変化に対応するため、継続的改善のコミットメントを含めます。
・情報セキュリティ方針は経営層が主導するよう求められています。
参考になった数11
この解説の修正を提案する
02
選択肢を確認します。
不適切。情報セキュリティ方針は、社内だけでなく社外にも伝達する必要があります。
これが正解です。
不適切。ISMSを組織全体に適応するのであれば、組織全体で定める必要があります。
不適切。ISMSにおける情報セキュリティ方針はトップダウンが基本です。
参考になった数2
この解説の修正を提案する
03
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)
とは、企業において情報セキュリティ対策を継続的に実践していくためのしくみです。
ISMS審査機関による審査に通過すると、「ISMS認証取得企業」としてロゴマークを使用することができます。
日本産業規格でも(JIS Q 27001)として、企業における「情報セキュリティ方針」を定める基準が制定されており、
ISMS認証を取得することは企業として大きな信頼を得るための社会的な基準とされています。
そのISMS認証取得するには
1.情報セキュリティ指針を制定し、文書化
2.リスクアセスメントの実施
3.社員への情報セキュリティ教育の実施
4.内部監査
といったステップを踏まなくてはなりません。
問題では、そのうちの「情報セキュリティ指針」についての基礎知識が問われています。
「情報セキュリティ方針」とは、情報漏洩などのセキュリティ事故を防ぐために「〜といったことに気をつけましょう」といった社内ルールのようなものであり、社員全員に周知こそする必要があります。
なので「機密事項」とするようなものではありません。
「ランサムウェア」や「標的型攻撃」など、攻撃者による攻撃手法は常に進化していっています。
そうした脅威に対抗していくには、その時の状況に応じて「情報セキュリティ方針」も更新していく必要があります。(正解)
「情報セキュリティ方針」は企業の上位層が定め、それが各部門へと適用されていくものです。
選択肢の文章ですと、そのプロセスが逆です。
ボトム=下位層(つまりは部署・部門)→アップ=上位層(経営者・マネジメント層)ということですが、これは「情報セキュリティ方針」が適用されるプロセスが逆です。
参考になった数1
この解説の修正を提案する
前の問題(問83)へ
令和7年度 問題一覧
次の問題(問85)へ