1. 情報セキュリティマネジメントの推進又は支援に関すること（1/7）～情報セキュリティ方針の策定～

1-1 情報セキュリティ方針の策定

概要　(引用)

経営者による情報セキュリティ方針の策定及び改定について，必要な指導・助言を行い，支援する。

要求される知識

・ 情報セキュリティガバナンス及びITガバナンスに関する知識
・ マネジメントシステム（ISMS，BCMSなど）に関する知識
・ 組織マネジメントに関する知識

要求される技能

・ 組織内外の利害関係者のニーズと期待，組織内の経営戦略，事業戦略によって生じる要求事項を踏まえて情報セキュリティ方針を具体化する能力
・ 法令，規制，契約，情報セキュリティに関する動向などによって生じる要求事項を踏まえて情報セキュリティ方針を具体化する能力
・ 経営者とコミュニケーションする能力

• 引用元
  • 情報処理推進機構　「情報処理安全確保支援士試験（レベル４）シラバス－ 情報処理技術者試験における知識・技能の細目 Ver.2.1（2023年12月25日掲載）
  • https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf

情報処理安全確保支援士に求められる情報セキュリティ方針の策定に関する役割について、以下のように説明できます。

情報セキュリティ方針の策定支援とは

情報処理安全確保支援士は、企業や組織における情報セキュリティの専門家として、経営層が策定する情報セキュリティ方針に対して、専門的な知見から助言・指導を行い、その策定や改定を支援する役割を担います。

具体的な活動内容

1. 経営層との連携

   • 情報セキュリティが事業継続や信頼性に与える影響を経営者に説明
   • 経営戦略と整合の取れたセキュリティ方針策定の必要性を訴える

2. 方針の策定支援

   • 情報資産のリスク分析結果や外部環境（法令・ガイドライン）を踏まえたセキュリティ基本方針の案を提示
   • 「誰に」「どのような保護対象を」「どのレベルで」守るべきかを明確化

3. ガイドライン・社内規程整備への助言

   • 基本方針を基にした実施手順（ルール、マニュアルなど）策定への橋渡し
   • ISMS（情報セキュリティマネジメントシステム）との整合性を保つ

4. 改定への助言

   • 新たな脅威の出現や法改正、事業環境の変化に応じて、既存方針の見直しを提言
   • 継続的改善（PDCAサイクル）に基づく見直しプロセスを支援

目的と意義

• 経営者の意思として明文化された情報セキュリティ方針は、組織全体のセキュリティレベルを維持・向上させるための出発点です。
• 支援士は、経営と現場の橋渡し役として、現実的かつ実効性のある方針作成を促進します。

マネジメントシステム（ISMS、BCMSなど）に関する知識

マネジメントシステム（ISMS、BCMSなど）に関する知識は、組織において情報セキュリティや事業継続性を確保・維持・改善していくための枠組みに関する理解を指します。それぞれのマネジメントシステムの概要とポイントは以下のとおりです。

ISMS（情報セキュリティマネジメントシステム）

定義

ISMS（Information Security Management System）は、組織の情報資産を適切に管理・保護するための仕組み（フレームワーク）です。ISO/IEC 27001に基づいて構築されます。

目的

• 機密性・完全性・可用性の3要素を確保し、情報セキュリティリスクを継続的に管理・改善する
• 社内外の関係者との信頼関係構築やセキュリティ事故の予防

主な構成要素

• 情報資産の特定とリスク評価（リスクアセスメント）
• 経営者によるセキュリティ方針の表明
• セキュリティ対策の選定・実施
• 内部監査・是正処置によるPDCAサイクルの実行

BCMS（事業継続マネジメントシステム）

定義：

BCMS（Business Continuity Management System）は、災害・事故・サイバー攻撃などの緊急事態が発生しても、重要な業務を中断させず、または迅速に回復するための管理体制です。ISO 22301に準拠します。

目的

• 業務停止リスクを最小限に抑え、組織のレジリエンス（回復力）を高める
• 顧客や取引先に対する信頼性の確保

主な構成要素

• BIA（Business Impact Analysis：業務影響分析）
• リスク評価と復旧戦略の策定
• 事業継続計画（BCP）の作成と訓練
• 緊急対応計画と定期的な見直し（PDCA）

共通点と活用の意義

項目	ISMS	BCMS
対象	情報資産（データ・システムなど）	組織の中核業務とその継続
目的	情報セキュリティの確保	緊急時でも業務を維持・復旧する体制の確保
国際規格	ISO/IEC 27001	ISO 22301
管理手法	PDCAサイクル	同じくPDCA

両者は連携することで、平常時のセキュリティ確保（ISMS）と非常時の業務継続（BCMS）の両面から、組織の安定と信頼性を支えることができます。

まとめ

情報処理安全確保支援士は、情報セキュリティの専門家として、経営者が策定する情報セキュリティ方針に対して、リスク評価や法令動向を踏まえた適切な指導・助言を行い、その策定および改定を支援する。これにより、組織全体のセキュリティ方針が経営戦略と整合し、実効性の高いものとなるよう導く。