問題
問69
ISMSの確立、実施、維持及び継続的改善における次の実施項目のうち、最初に行うものはどれか。
- 情報セキュリティリスクアセスメント
- 情報セキュリティリスク対応
- 内部監査
- 利害関係者のニーズと期待の理解
[出典:ITパスポート試験 令和2年度 問69]
スポンサーリンク
正解
正解は「エ」です。
解説
ISMS(情報セキュリティマネジメントシステム)の確立、実施、維持及び継続的改善において、最初に行うべき項目は「利害関係者のニーズと期待の理解」です。
これは、情報セキュリティの目的や方針を設定するための基礎となるものです。組織の情報セキュリティに対する要求や期待を明確にすることで、具体的な対策や方向性を定めることができます。例えば、顧客が求める情報の保護レベルや従業員のセキュリティ教育などのニーズを理解することで、効果的な情報セキュリティ方針を策定することが可能です。
ア(情報セキュリティリスクアセスメント):
リスクアセスメントは、利害関係者のニーズと期待を理解した後に行うべきです。
イ(情報セキュリティリスク対応):
リスク対応はリスクアセスメントの結果に基づいて行うプロセスです。
ウ(内部監査):
内部監査はISMSが適切に運用されているかを確認するプロセスであり、ISMSの確立後に実施されます。
難易度
この問題の難易度は中程度です。ISMSの確立、実施、維持及び継続的改善のプロセスを理解している必要がありますが、「利害関係者のニーズと期待の理解」が最初に行うべき項目であることは比較的直感的に理解できるため、初心者でも解答がしやすい問題です。
スポンサーリンク
用語補足
ISMS:
ISMS(情報セキュリティマネジメントシステム)は、組織の情報セキュリティを管理するための枠組みです。情報の機密性、完全性、可用性を維持するための方針、手順、ガイドラインを含みます。
利害関係者:
利害関係者とは、組織の活動に影響を受ける、または影響を与える個人や団体のことです。顧客、従業員、取引先、規制当局などが含まれます。
対策
ISMSの確立、実施、維持及び継続的改善のプロセスについて学び、その手順を理解することが重要です。特に、利害関係者のニーズと期待を正確に把握することで、情報セキュリティの方向性を明確にし、効果的な対策を講じることが可能になります。これらを理解することで、本試験において正確な解答を導くことができます。
