【情報セキュリティ】情報セキュリティポリシとは? ゼロから学ぶITパスポート講座

 

この記事は就活や転職にも役立つ資格、「ITパスポート」についての解説記事です。

今回はネットワークの仕組みを理解するために、試験範囲の”テクノロジー系 情報セキュリティ”に位置づけられる「情報セキュリティポリシ」について、現役エンジニアの著者が分かりやすく解説していきます。

記事の後半では過去にITパスポート試験に実際に出題された問題も取り扱っていますのでぜひ最後まで目を通してみてください。

 

情報セキュリティポリシとは


情報セキュリティポリシは、「情報セキュリティ方針」とも呼ばれ、企業や組織において実施される、情報セキュリティ対策の方針のことです。

情報セキュリティポリシ 情報セキュリティ方針 組織 経営陣

組織の経営陣が最終的な責任者となり、組織全体で情報セキュリティに本格的に取り組む姿勢を内外に宣言します。

情報セキュリティポリシ 情報セキュリティ基本方針 情報セキュリティ対策基準 情報セキュリティ実施手順

情報セキュリティに関する文書は、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3種類で構成されます。

このうち、「基本方針」と「対策基準」の2つの文書を合わせて情報セキュリティポリシといいます

技術の進化やビジネスの変化等、情報セキュリティを取り巻く環境は常に変化しています。

そのため情報セキュリティポリシは一度作成して終わりではなく、定期的に内容を分析・評価し、必要な箇所は改訂し、再度、内外に周知する事が重要です。

 

情報セキュリティ基本方針

情報セキュリティ基本方針は、情報セキュリティに関する姿勢を示す文書です。

情報セキュリティ 基本方針 企業 経営陣 情報セキュリティの責任者

情報セキュリティの責任者となる企業の経営陣が、従業員と社外のステークホルダーに対して情報セキュリティに対する方針と宣言を公表し、内外に対して情報セキュリティに本格的に取り組む姿勢を示します。

情報セキュリティ対策基準

情報セキュリティ対策基準は、情報セキュリティ基本方針で定めた目標を達成するための具体的な対策や基準が記述された文書です。

情報セキュリティ対策基準 具体的 ルール 規則

具体的には、

  • 情報に関するアクセス権限保有者の規定
  • 不正アクセスに対する対策や体制の規定
  • 就業規則
  • 問題なく機能している事の確認方法
  • 維持管理方法

など、基本方針に基づいた具体的なルールが記載されます。

情報セキュリティ実施手順

情報セキュリティ実施手順は、情報セキュリティ対策基準で定めたルールを具体的に実施するための手順が記述されたマニュアルです。

情報セキュリティ実施手順 情報セキュリティ 具体的 手順 マニュアル 公表しない

情報セキュリティ実施手順には、具体的にどのような手順で実施されるか記述されています。

攻撃者が手順を知ってしまうと手順の穴をついた攻撃を仕掛けてくる等、セキュリティリスクが高まるため、文書は外部に公開しません。

 

試験対策用まとめ


試験対策用に、この記事の要点をまとめました。

  • 情報セキュリティポリシは情報セキュリティ方針とも呼ばれる
  • 情報セキュリティには以下3つの文書がある
    • 「情報セキュリティ基本方針」
    • 「情報セキュリティ対策方針」
    • 「情報セキュリティ実施手順」
  • 情報セキュリティに関する3つの文書のうち「基本方針」「対策基準」の2つの文書を情報セキュリティポリシという
  • 情報セキュリティポリシは、企業が情報セキュリティに本格的に取り組む姿勢を内外に宣言する文書
  • 情報セキュリティ実施手順書は、セキュリティリスクが高まる事から外部には公開しない

今回はこの5点について押さえておきましょう。

 

ITパスポートの過去問で実践


それでは、実際にITパスポート試験で出題された、ISMSや情報セキュリティポリシーに関する問題を解いてみましょう。

令和元年秋期

内外に宣言する最上位の情報セキュリティポリシに記載することとして,最も適切なものはどれか。

  • ア 経営陣が情報セキュリティに取り組む姿勢
  • イ 情報資産を守るための具体的で詳細な手順
  • ウ セキュリティ対策に掛ける費用
  • エ 守る対象とする具体的な個々の情報資産

 

情報セキュリティポリシは、「情報セキュリティ基本方針」と「情報セキュリティ対策基準」の2つの文書で構成されております。

対策基準は、基本方針に基づいて策定されますので、基本方針が上位という事になります。

基本方針では、責任者である経営陣が、内外に対して情報セキュリティに本格的に取り組む姿勢を示します。

したがって正解は「ア」となります。

 

平成28年秋期

企業におけるISMSの活動において,自社で取り扱う情報資産の保護に関する基本的な考え方や取組み方を示したものはどれか。

  • ア BCP
  • イ ISMS要求事項
  • ウ PDCA
  • エ 情報セキュリティ方針

 

ISMSはInformation Security Management Systemの略で、日本語では「情報セキュリティマネジメントシステム」とされます。

ISMSとは簡単に言うと、情報セキュリティを維持するための仕組みの全てを指します。

ISMSの活動において情報資産の保護等、情報セキュリティに関する方針や取り組みを示す文書が情報セキュリティ方針です。

したがって正解は「エ」となります。

また、情報セキュリティ方針は情報セキュリティポリシとも呼ばれますので、しっかりと抑えておきましょう。

 

まとめ


情報セキュリティに関する問題は近年より重要度が増していて出題数も増えている傾向にあるのでしっかりと押さえておきましょう。

今回は以上です。

 

本記事の中で分からない用語があった方は関連する動画のリンクが貼ってありますのでそちらもご覧になってください。