問題
問93
次のISMSにおける実施項目のうち,最初に行うものはどれか。
- ISMSの適用範囲の決定
- 情報セキュリティリスクアセスメント
- 情報セキュリティリスク対応
- 内部監査
[出典:ITパスポート試験 令和8年度 問93]
正解
正解は「ア」です。
解説
ISMS(情報セキュリティマネジメントシステム)を構築・運用する際、まず最初に行うべきことは「守るべき境界線」を明確にすることです。これが正解である「ISMSの適用範囲の決定」です。
例えば、家全体のセキュリティを強化しようとする際、家全体を警備対象にするのか、それとも大切な書類が入った金庫のある一部屋だけを徹底的に守るのかを最初に決めなければなりません。対象が決まっていないのに、どこに鍵をかけ、どこに監視カメラを設置すべきかの計画を立てることはできないからです。企業においても同様で、会社全体を対象とするのか、あるいは特定の部署や拠点、特定のシステム開発プロジェクトのみを対象とするのかという範囲を定めることが、全てのセキュリティ活動の出発点となります。
この範囲が決まることで、初めてその範囲内にどのような大切なデータがあるのか、どのような危険が潜んでいるのかを調査する「リスクアセスメント」へと進むことができます。この順序を間違えると、守る必要のない場所に過剰なコストをかけたり、逆に本当に守るべき場所が漏れてしまったりするため、非常に重要なプロセスなのです。
イ(情報セキュリティリスクアセスメント):
適用範囲が決まった後に、その範囲内の情報資産に対してどのような脅威があるかを分析・評価する工程です。
ウ(情報セキュリティリスク対応):
リスクアセスメントの結果を受けて、実際にどのようなセキュリティ対策を講じるかを計画し実行する段階です。
エ(内部監査):
システムがルール通りに運用されているかを自らチェックする工程で、構築の最後や運用開始後に行われます。
難易度
難易度は比較的低めです。ISMS導入の初期ステップにおける基本中の基本を問う問題であり、PDCAサイクルの「Plan(計画)」のさらに一番最初の作業であることを理解していれば、迷わず解答できるはずです。日常の防犯対策に例えて考えると、「まずはどこを守るか決める」という論理的な順序がイメージしやすく、IT未経験の初心者の方にとっても非常に得点しやすい部類の問題といえます。
用語補足
ISMS:
組織の情報を安全に管理するための仕組みです。例えば「USBメモリの持ち出し禁止」といったルールを作り、それを守り続ける活動のことです。
リスクアセスメント:
どのような危険(リスク)がどこにあるかを特定し、その大きさを評価することです。例えば「地震でサーバーが止まる可能性と影響」を見積もることです。
内部監査:
組織のルールが正しく運用されているかを自分たちで定期的に点検することです。学校で行われる「持ち物検査」や「定期試験」のようなイメージです。
情報資産:
企業が保有する価値のある情報のことです。顧客名簿や技術資料、財務データなどが該当し、これらをリスクから守ることがISMSの目的です。
対策
ISMS構築の流れをイメージして覚えるのが近道です。「1.適用範囲を決める → 2.基本方針を作る → 3.リスクを調べる → 4.対策を練る」という順序を理解しましょう。特に「対象範囲を決めないと、何を守ればいいか決まらない」という論理を意識してください。また、内部監査や改善活動は、仕組みが出来上がって運用が始まった後(PDCAのCやA)に行われるものであることも併せて覚えておきましょう。
