93の正解: テクノロジ系セキュリティ

次のISMS における実施項目のうち、最初に行うものはどれか。

この設問が問うていること

ISMS(情報セキュリティマネジメントシステム)の導入・運用における最初のステップについて問う設問です。

ISMSの適用範囲の決定正解
選択肢の解説: 「ISMSの適用範囲の決定」は、ISMSをどこまで適用するか(どの情報資産、どの部門、どの拠点など)を明確にする最初のステップです。これが正解です。
情報セキュリティリスクアセスメント
選択肢の解説: 「情報セキュリティリスクアセスメント」は、適用範囲内で情報セキュリティ上のリスクを特定し、分析・評価する活動です。適用範囲が決定された後に行われます。
情報セキュリティリスク対応
選択肢の解説: 「情報セキュリティリスク対応」は、リスクアセスメントで特定されたリスクに対して、適切な対策を実施することです。リスクアセスメントの後に行われます。
内部監査
選択肢の解説: 「内部監査」は、ISMSが適切に運用され、目標が達成されているかを確認するために行われる評価活動です。ISMSの運用が始まってから行われる「点検(Check)」の段階の活動です。

総合解説

ISMS(情報セキュリティマネジメントシステム)は、組織の情報セキュリティを体系的に管理するための仕組みです。その導入・運用は、PDCAサイクル(Plan-Do-Check-Act:計画→実行→点検→改善)に基づいて行われます。 ・ 正解のア(a)「ISMSの適用範囲の決定」 は、ISMSをどの範囲(どの情報資産、どの業務、どの部門、どの拠点など)に適用するかを明確にする、最も初期の重要なステップです。この範囲が定まらないと、その後のリスクアセスメントや対策の計画・実施ができません。 ・ イ(b)「情報セキュリティリスクアセスメント」 は、適用範囲内で情報セキュリティ上のリスクを特定し、その発生可能性と影響度を評価する活動です。これは適用範囲が決定された後に行われる「計画(Plan)」の段階の活動です。 ・ ウ(c)「情報セキュリティリスク対応」 は、リスクアセスメントで評価されたリスクに対して、具体的な対策(例えば、アクセス制御の導入、従業員への教育など)を実施することです。これは「実行(Do)」の段階の活動です。 ・ エ(d)「内部監査」 は、ISMSが適切に運用され、情報セキュリティ目標が達成されているかを確認するために、組織内部で行われる独立した評価活動です。これは「点検(Check)」の段階の活動であり、ISMSの運用が始まってから実施されます。 したがって、ISMSの導入において最初に行うべきは、その適用範囲を明確にすることです。

執筆・監修: 運営者 KH更新日: 2026-06-30出典: IPA公式PDF(過去問題・解答例)
AIAIにその場で質問(デモ応答)

こんな聞き方もできます(タップで質問)

令和8年度を本番同様のCBT形式で解いてみよう

無料登録なしでも一部体験可能。登録すれば採点・弱点分析・AI教科書まで使えます。

令和8年度の過去問CBTを解く