ITパスポート試験 ITパスポート 2020年 (令和2年 10月) 問69: ISMSの確立,実施,維持及び継続的改善における次の実施項目のうち,最初に行うものはどれか。

問題本文

ISMSの確立,実施,維持及び継続的改善における次の実施項目のうち,最初に行うものはどれか。

選択肢

• ア.情報セキュリティリスクアセスメント
• イ.情報セキュリティリスク対応
• ウ.内部監査
• エ.利害関係者のニーズと期待の理解

正解

エ. 利害関係者のニーズと期待の理解

解説

ISMS (ISO/IEC 27001) では組織の状況把握として利害関係者のニーズと期待の理解が最初に行うべき活動.これを踏まえてリスクアセスメント等の活動に進む.

選択肢ごとの解説

• ア.リスクアセスメントは組織状況把握の後に行う.
• イ.リスク対応はアセスメントの結果を受けて実施する.
• ウ.内部監査は運用後の確認段階で実施する活動.
• エ.正しい.利害関係者のニーズと期待の理解が最初.