最終更新日:2026年6月1日
sg sg-security-management isms
まず結論
- このシリーズでは、情報セキュリティ管理を組織としてどう決め、運用し、見直すかを学びます。
- SG試験では、技術対策そのものよりも、方針・基準・手順・体制・PDCAのどの話かを判断できることが重要です。
- 丸暗記ではなく、迷ったら 「誰が決めるのか」「どの階層のルールか」「実施か改善か」 で切り分けます。
全体像
情報セキュリティ管理は、ウイルス対策ソフトやファイアウォールを入れるだけの話ではありません。組織として情報資産を守るために、方針を決め、基準を作り、現場の手順に落とし込み、運用結果を確認して改善する活動です。
この流れを体系的に回す仕組みがISMSです。ISMSでは、経営層の関与、リスクに応じた管理策、PDCAによる継続的改善が重要になります。セキュリティポリシーは、その方針やルールを文書として整理したものです。
SG試験では、次のように見ると選択肢を切りやすくなります。
- 組織全体で守る仕組みの話 → 情報セキュリティ管理・ISMS
- ルールの階層の話 → 基本方針・対策基準・実施手順
- 経営層が有効性を見直す話 → マネジメントレビュー
- 実施結果を確認して改善する話 → PDCAのCheck・Act
主要用語の整理
| 用語 | 判断基準 |
|---|---|
| 情報セキュリティ管理とは?組織で守る仕組みの基本【SG試験】 | 個別の技術対策ではなく、組織としてルール・体制・運用を整える話かを見る |
| ISMSとは?組織で回すセキュリティ管理の仕組み【SG試験】 | 情報セキュリティを継続的に管理する仕組み、PDCA、規格に基づく運用の話かを見る |
| 情報セキュリティポリシーとは?3階層で理解する基本ルール【SG試験】 | 基本方針・対策基準・実施手順をまとめた組織のルール体系かを見る |
| 情報セキュリティ基本方針とは?経営者の宣言を理解する【SG試験】 | 経営者が組織として守る姿勢や方向性を宣言する話かを見る |
| 情報セキュリティ対策基準とは?ルールレベルの考え方【SG試験】 | 守るべき対策や管理策を、組織共通のルールとして定める話かを見る |
| 情報セキュリティ実施手順とは?現場でのやり方を理解する【SG試験】 | 現場担当者が実際にどう作業するか、具体的な手順の話かを見る |
| 情報セキュリティ委員会とは?組織で統制する仕組み【SG試験】 | 部門横断で方針を決め、状況を把握し、改善を指示する会議体の話かを見る |
| マネジメントレビューとは?ISMSを見直すトップの確認【SG試験】 | トップマネジメントがISMSの有効性を確認し、改善を判断する話かを見る |
| PDCAとは?DとAの違いを切り分ける【SG試験】 | 計画・実行・評価・改善のどの段階か、とくにDoとActの違いを見る |
SG試験でのひっかけポイント
| 迷いやすい組合せ | 切り分けのポイント |
|---|---|
| 情報セキュリティ管理 vs 技術的対策 | 管理はルール・体制・運用を含む組織的な仕組み。製品導入だけなら技術的対策に寄ります。 |
| ISMS vs 情報セキュリティポリシー | ISMSは管理を継続的に回す仕組み。ポリシーは方針・基準・手順を文書化したルール体系です。 |
| 基本方針 vs 対策基準 vs 実施手順 | 基本方針は経営者の方向性、対策基準は守るべきルール、実施手順は現場の具体的な作業方法です。 |
| 情報セキュリティ委員会 vs マネジメントレビュー | 委員会は組織内の統制・調整の場。マネジメントレビューはトップがISMSの有効性を見直す活動です。 |
| Do vs Act | Doは計画や手順どおりに実施する段階。Actは評価・監査・レビュー結果を受けて改善する段階です。 |
おすすめの学習順序
- 情報セキュリティ管理とは?組織で守る仕組みの基本【SG試験】
まず、個別対策ではなく組織で守るという全体像を押さえます。 - ISMSとは?組織で回すセキュリティ管理の仕組み【SG試験】
継続的に管理する仕組みとPDCAの考え方を確認します。 - 情報セキュリティポリシーとは?3階層で理解する基本ルール【SG試験】
組織のルール体系を、3階層で整理します。 - 情報セキュリティ基本方針とは?経営者の宣言を理解する【SG試験】
経営者が示す方向性を確認します。 - 情報セキュリティ対策基準とは?ルールレベルの考え方【SG試験】
方針を具体的な管理ルールに落とす部分を学びます。 - 情報セキュリティ実施手順とは?現場でのやり方を理解する【SG試験】
現場で実際に行う手順との違いを整理します。 - 情報セキュリティ委員会とは?組織で統制する仕組み【SG試験】
部門横断で統制する体制を確認します。 - マネジメントレビューとは?ISMSを見直すトップの確認【SG試験】
トップが何を確認し、改善につなげるのかを整理します。 - PDCAとは?DとAの違いを切り分ける【SG試験】
最後に、実施と改善の切り分けを試験直前用に固めます。
記事一覧
全体像・管理の仕組み
ポリシー・規程の階層
- 情報セキュリティポリシーとは?3階層で理解する基本ルール【SG試験】
- 情報セキュリティ基本方針とは?経営者の宣言を理解する【SG試験】
- 情報セキュリティ対策基準とは?ルールレベルの考え方【SG試験】
- 情報セキュリティ実施手順とは?現場でのやり方を理解する【SG試験】
組織体制・見直し
まとめ(試験直前用)
- ISMSは、情報セキュリティ管理を継続的に回す仕組みです。
- セキュリティポリシーは、基本方針・対策基準・実施手順の3階層で整理します。
- 基本方針は経営者の方向性、対策基準は守るべきルール、実施手順は現場の作業方法です。
- マネジメントレビューはトップによる見直し、PDCAのActは評価結果を受けた改善です。
- 選択肢では、「仕組み」「ルールの階層」「誰が見直すか」「実施か改善か」 を見て切り分けます。