問題
テクノロジ系
問93 次の ISMS における実施項目のうち,最初に行うものはどれか。
選択肢
- アISMS の適用範囲の決定
- イ情報セキュリティリスクアセスメント
- ウ情報セキュリティリスク対応
- エ内部監査
解説
正解:ア
概要
この問題は,ISMSにおける実施項目の順序として最初に行うものを問うものです。ISMSの構築プロセスの順序を正しく理解することがポイントです。
正解の理由
ISMSの構築において最初に行うべきことは,「ISMSの適用範囲の決定」です。どの組織・業務・情報資産を対象とするかを明確にしてから,その範囲内でのリスクアセスメント,リスク対応,内部監査という順序で進めます。アが正解です。
各選択肢の解説
ア(〇): ISMSの適用範囲の決定が最初のステップです。対象範囲を決めなければ,以後の活動が進められません。
イ(×): 情報セキュリティリスクアセスメントは,適用範囲決定の後に行います。
ウ(×): 情報セキュリティリスク対応は,リスクアセスメントの後に行います。
エ(×): 内部監査は,ISMSを運用した後に,その有効性を評価するために行います。最後のステップです。
ISMSの構築順序
1. 適用範囲の決定
2. 情報セキュリティリスクアセスメント(リスクの特定・分析・評価)
3. 情報セキュリティリスク対応(管理策の選択・実施)
4. 内部監査(有効性の検証)
ポイント
ISMSはPDCAサイクルで継続的に改善されます。Plan(計画)→Do(実施)→Check(監査)→Act(改善)の流れを覚えましょう。