次のISMS における実施項目のうち、最初に行うものはどれか。
この設問が問うていること
ISMS(情報セキュリティマネジメントシステム)の導入・運用における最初のステップについて問う設問です。
総合解説
ISMS(情報セキュリティマネジメントシステム)は、組織の情報セキュリティを体系的に管理するための仕組みです。その導入・運用は、PDCAサイクル(Plan-Do-Check-Act:計画→実行→点検→改善)に基づいて行われます。 ・ 正解のア(a)「ISMSの適用範囲の決定」 は、ISMSをどの範囲(どの情報資産、どの業務、どの部門、どの拠点など)に適用するかを明確にする、最も初期の重要なステップです。この範囲が定まらないと、その後のリスクアセスメントや対策の計画・実施ができません。 ・ イ(b)「情報セキュリティリスクアセスメント」 は、適用範囲内で情報セキュリティ上のリスクを特定し、その発生可能性と影響度を評価する活動です。これは適用範囲が決定された後に行われる「計画(Plan)」の段階の活動です。 ・ ウ(c)「情報セキュリティリスク対応」 は、リスクアセスメントで評価されたリスクに対して、具体的な対策(例えば、アクセス制御の導入、従業員への教育など)を実施することです。これは「実行(Do)」の段階の活動です。 ・ エ(d)「内部監査」 は、ISMSが適切に運用され、情報セキュリティ目標が達成されているかを確認するために、組織内部で行われる独立した評価活動です。これは「点検(Check)」の段階の活動であり、ISMSの運用が始まってから実施されます。 したがって、ISMSの導入において最初に行うべきは、その適用範囲を明確にすることです。
こんな聞き方もできます(タップで質問)