ISMS の活動に関する記述として、最も適切なものはどれか。
この設問が問うていること
ISMS(情報セキュリティマネジメントシステム)の活動内容について問う設問です。
総合解説
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織が情報セキュリティを体系的に管理するための仕組みです。情報漏洩やサイバー攻撃などのリスクから情報資産を守ることを目的とします。 正解であるウの選択肢は、ISMSの活動のまさに中核をなす内容です。組織内の重要な情報資産(データ、システム、書類など)を特定し、それらに対する潜在的なリスク(脅威と脆弱性)を洗い出し、そのリスクが組織に与える影響を評価します。そして、評価されたリスクを許容可能なレベルにまで低減するための適切な管理策(対策)を導入し、継続的に運用・改善していく一連のプロセスがISMSです。 一方、不正解の選択肢は以下の通りです。 アは、BPR(ビジネスプロセス・リエンジニアリング)や一般的な業務改善活動の説明であり、情報セキュリティに特化したものではありません。 イは、ITIL(Information Technology Infrastructure Library)などのITサービスマネジメントに関する活動の説明で、ITサービスの品質向上と顧客満足度を目的とします。 エは、CMMI(能力成熟度モデル統合)などの開発プロセスの成熟度評価と改善に関する活動の説明で、主にソフトウェア開発などの品質向上を目指します。 この設問は、それぞれのマネジメントシステムや改善活動がどのような目的を持っているかを理解しているかを問うものです。
こんな聞き方もできます(タップで質問)