ITパスポート試験
令和7年 第84問
問84
ISMSにおける情報セキュリティ方針に関する記述として、最も適切なものはどれか。
| 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。 | |
| 情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。 | |
| 部門の特性に応じて最適化するので、ISMSを適用する組織全体ではなく、部門ごとに定める必要がある。 | |
| ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。 |
(令和7年 ITパスポート試験 第84問 テクノロジ系/セキュリティ)
解説
(イ)情報セキュリティ対策は一度実施したら終わりではないので、ISMSを継続的に改善するコミットメントを含める必要がある。
この問題の正解率:84.9%(高い)
この問題の正解率:84.9%(高い)
- (ア) は、誤りです。情報セキュリティ方針は“機密”そのものではなく、方針や理念・基本方針です。社外や関係者に広く公開し、理解を促すことが重要です。
- (イ) は、正解です。ISMSの根本精神は「継続的な改善(PDCAサイクル)」です。方針には、トップマネジメントのコミットメント(決意表明)や、継続的改善の考え方を必ず盛り込みます。
- (ウ) は、誤りです。組織全体の方針がまず必要です。部門ごとに定める場合も、全体方針が優先されます。
- (エ) は、誤りです。情報セキュリティ方針はトップマネジメント(経営層)が策定・承認することが求められています。
【用語の説明】
情報セキュリティ方針:
ISMSの土台となる文書で、組織の情報資産をどう守るか、何を大事にするか、どんな姿勢で運用改善を行うかを示します。継続的改善の意思(コミットメント)を含むことが必須です。
選択中のリスト
令和7年テクノロジ系過去問一覧