問題(令和7年 問84)
ISMSにおける情報セキュリティ方針に関する記述として、適切なものはどれか。
ア 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
イ 情報セキュリティ対策は一度実施したら終わりではないので、 ISMSを継続的に改善するコミットメントを含める必要がある。
ウ 部門の特性に応じて最適化するので、 ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
エ ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
解説(令和7年 問84)
この問題の特徴
- シラバス:Ver.3.0以前
- 出題分野:セキュリティ
- 過去問題(公開)出題頻度:ほぼ必ず出た
- キーワード:ISMSにおける情報セキュリティ方針
ISMSにおける情報セキュリティ方針
トップマネジメントが、情報セキュリティに対する組織の意図を示し,方向付けしたものです。
(ITパスポート 令和5年 問94、ITパスポート 平成30年春 問93 より)
また、次のことが求められます。
- ISMSの継続的改善へのコミットメント(成し遂げようとする強い責任感と、必ず実現させるという固い決意)を含みます。
- 文書化した情報として利用可能にすること
- 組織内に伝達すること
- 必要に応じて,利害関係者が入手可能にすること
(JIS Q 27001より)
ア 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
情報セキュリティ方針は、「必要に応じて,利害関係者が入手可能にすること」が求められています。よって、「伝達する範囲を社内に限定する必要がある。」は不適切です。
イ 情報セキュリティ対策は一度実施したら終わりではないので、 ISMSを継続的に改善するコミットメントを含める必要がある。
「ISMSを継続的に改善するコミットメントを含める必要がある。」は、適切です。
ウ 部門の特性に応じて最適化するので、 ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。
情報セキュリティ方針は、情報セキュリティに対する組織の意図を示し方向付けしたものなので、「部門ごとに定める必要がある。」は不適切です。
エ ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
情報セキュリティ方針は、トップマネジメントによるものなので、「各職場の管理者によって承認される必要がある。」は不適切です。
よって、正解は イ です。
コメント