ISMS における情報セキュリティ方針に関する記述として、適切なものはどれか。
- ア. 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
- イ. 情報セキュリティ対策は一度実施したら終わりではないので, ISMS を継続的に改善するコミットメントを含める必要がある。
- ウ. 部門の特性に応じて最適化するので, ISMS を適用する組織全体ではなく、部門ごとに定める必要がある。
- エ. ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
【答え】イ
【解説】
ISMS(情報セキュリティマネジメントシステム)は、情報セキュリティを継続的に改善し、組織のリスクに対応するための仕組みです。
各選択肢の解説
ア. 機密事項が記載されているので、伝達する範囲を社内に限定する必要がある。
→情報セキュリティ方針は機密ではなく、関係者全員に広く周知されるべきものです。
イ. 情報セキュリティ対策は一度実施したら終わりではないので, ISMS を継続的に改善するコミットメントを含める必要がある。
→ ⭕ 情報セキュリティ方針は、トップマネジメントが示すべき基本的な方向性や取り組み姿勢であり、ISO/IEC 27001でも「継続的改善へのコミットメント」が重要とされています。
ウ. 部門の特性に応じて最適化するので, ISMS を適用する組織全体ではなく、部門ごとに定める必要がある。
→基本方針は組織全体に対して統一的に定められるべきです。必要に応じて部門ごとの実施手順を作るのはOKですが、方針自体は全体に共通している必要があります。
エ. ボトムアップを前提としているので、各職場の管理者によって承認される必要がある。
→ISMSの方針はトップダウンで決定・承認されるべきであり、各職場の管理者レベルで承認するものではありません。
以上より、正解はイ.となります。
情報セキュリティ管理 
