最終更新日:2026年5月20日
sg security_management isms asset_management it_security_operations sg-security-management
まず結論
- 情報セキュリティ基本方針とは、経営者が示す「情報をどう守るか」という方向性と意思を表した文書
- SG試験では「具体的な対策ではなく、方針レベルかどうか」を判断させる問題が多い
直感的な説明
会社のトップが
「うちは情報セキュリティをこういう考えで守ります」と宣言するのが基本方針です。
たとえば:
- 情報を守ることを重要視する
- 法令を守る
- 継続的に改善する
👉 現場の細かいルールではなく
“会社としての考え方”を示すものです
定義・仕組み
情報セキュリティ基本方針は、情報セキュリティポリシーの最上位に位置します。
主な内容は以下のようなものです:
- 情報セキュリティの目的(なぜ守るのか)
- 適用範囲(どこまで守るのか)
- 経営者の責任と関与
- 法令・規格の遵守
- 継続的改善の方針
👉 ポイントは
「具体的な対策は書かない」こと
また、基本方針は
- 社内に周知される
- 必要に応じて社外にも公開される
という特徴があります
どんな場面で使う?
使う場面
- ISMSの構築・運用
- 社内のセキュリティ教育
- 外部への信頼性アピール(Web公開など)
👉 「この会社はちゃんとセキュリティを考えているか」を示す土台になります
注意が必要な場面
- 手順書のような細かい内容を書く
- システム単位の対策を書く
👉 それは
対策基準や実施手順の役割です
よくある誤解・混同
❌ 誤解1
- 基本方針は機密文書なので外部に出さない
👉 ⭕ 正しくは
外部公開されることもある(信頼性の証明)
❌ 誤解2
- 一度決めたら変更しない
👉 ⭕ 正しくは
環境変化(法改正・技術)に応じて見直す
❌ 誤解3
- 具体的な対策を書く文書
👉 ⭕ 正しくは
方向性だけを書く(具体策は下位文書)
SG試験では
👉「それは方針レベルか?具体策か?」
と問われることが多いです
確認問題(SG試験対策)
情報セキュリティ基本方針の位置づけとして、最も適切なものはどれか。
- ア. 現場の具体的な操作手順を秒単位で規定する文書である。
- イ. 経営層の意思を示し、組織全体の方向性と原則を定める最上位文書である。
- ウ. 個別システムの設定値のみを記載する技術仕様書である。
- エ. 監査結果の記録だけをまとめる報告書である。
▶ クリックして答えと解説を見る(ここを開く)
正解:イ
解説
- ア:それは手順書や運用規程の役割です。
- イ:基本方針は経営のコミットメントを示す最上位の方針です。
- ウ:技術仕様書は下位の実装文書です。
- エ:監査報告は方針そのものではありません。
👉 判断ポイント
「基本方針=組織全体の原則」「手順書=現場の具体化」で切り分ける。
まとめ(試験直前用)
- 基本方針=経営者の宣言(方向性)
- 具体的対策は書かない(→対策基準・手順)
- 社外公開されることがある
- 環境に応じて見直す
- 「具体的すぎる内容」は誤りと判断