ITパスポートの過去問
平成27年度 秋期
テクノロジ系 問80

正解は3です。


1：ISMS（Information Security Management System）はPDCAサイクルを用いて運用されることが一般的です。

PDCAサイクルとはPlan（計画）、Do（実行）、Check（評価）、Action（改善）を繰り返し実施してより良いマネジメントを模索する手法です。

このサイクルに当てはめると、
まず、事故が発生した場合にどう対応するかを計画します。（Plan）
次に、実際に事故が発生した時に計画した内容に従い対応します。（Do）
そして、事故への対応が適切だったか評価します。（Check）
対応内容に不備などがあった場合は改善を実施します。（Action）

つまり、1の内容はDoの一部であり、Doのみでサイクルが開始、終了することはありません。
よって、1は誤りです。


2：ISMSはトップマネジメントが要求されます。
トップマネジメントとは組織の最高位の立場にある人物がISMSの構築や運用にあたり、指揮や指示を行います。

つまり、ISMSの構築、運用は組織全体で実施するものです。
よって、2は誤りです。


3：ISMSでは情報資産を安全に取り扱うための枠組みを決め、対策を実施します。
よって、3は正しいです。


4：情報セキュリティ方針は情報セキュリティ対策の基本的な考え方について記述したものです。
その組織が情報セキュリティ対策にどのような姿勢で取り組むかを示します。

具体的なセキュリティ対策は「情報セキュリティ実施手順」に記述されます。
よって、4は誤りです。

正解：3

ISMSとはセキュリティマネジメントのことであり、組織、企業に所属するすべての人、モノに対して継続的に行うものです。

1.継続的に行うため、終息することはありません。
2.組織全体で行うため、例外はありません。
3.運用対象の人、モノを特定することは正しいです。
4.ISMSは方針ではなく詳細な運用ルールのため誤りです。

ISMSとは情報セキュリティマネジメントシステムのことです。
組織における情報を適切に管理して、情報の機密性、完全性、可用性を維持していくためのものです。

選択肢をひとつずつ見ていきましょう。

１．ISMSのマネジメントサイクルは、情報が存在する限り繰り返し実行されます。よって、誤りです。

２．ISMSの構築、運用は組織全体で行います。よって、誤りです。

３．ISMSを構築する組織は、保護すべき情報資産を特定してリスク対策を行います。
よって、正解です。

４．情報セキュリティ方針は、セキュリティ方針のいで具体的なセキュリティ対策は示されません。
よって、誤りです。