ITパスポート過去問 令和2年度(2020年)問69
ISMSの確立,実施,維持及び継続的改善における次の実施項目のうち,最初に行うものはどれか。
選択肢
- ア:情報セキュリティリスクアセスメント
- イ:情報セキュリティリスク対応
- ウ:内部監査
- エ:利害関係者のニーズと期待の理解
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSは、最初に組織を取り巻く状況を整理し、利害関係者が情報セキュリティに対して求めている事項を把握します。その内容を前提に、情報セキュリティリスクアセスメントと情報セキュリティリスク対応を計画し、運用後に内部監査などで確認し、継続的に改善します。
Point
この問題は、ISMSの確立、実施、維持、継続的改善の流れの中で、最初に実施する事項を理解しているかを確認します。特に、リスクを評価したり対策を決めたりする前に、利害関係者のニーズと期待を把握することが前提になる点を問うています。
解くために必要な知識
この問題を解くには、ISMS(情報セキュリティマネジメントシステム)の構築の流れと、各活動の前後関係を理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| ISMS | 組織の情報資産について、機密性、完全性、可用性の観点で管理し、情報セキュリティを維持、改善するための仕組みです。 |
| 利害関係者のニーズと期待 | 顧客、従業員、取引先、規制当局などが、組織の情報セキュリティに対して求める要求事項です。 |
| PDCAサイクル | 計画、実行、点検、改善を繰り返して、管理の仕組みを継続的に改善する考え方です。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 情報セキュリティリスクアセスメント | 情報資産に対する脅威や脆弱性などを洗い出し、起こり得る影響や発生可能性を踏まえてリスクを評価することです。 |
| 情報セキュリティリスク対応 | リスクアセスメントの結果に対して、リスク低減、リスク回避、リスク移転、リスク保有などの対応方針を選び、対策を決めて実施することです。 |
| 内部監査 | ISMSが規定したルールどおりに運用されているか、要求事項を満たしているかを、組織内部の監査員が評価することです。 |
最初に「利害関係者のニーズと期待」を行う理由
位置付け
ISMSでは、要求事項の把握が計画の前提になります。要求事項には、契約上の条件や法令、顧客要求などが含まれ得ます。
前後関係
-
要求事項の把握ができると、何を守る必要があるか、どこまでを対象にするかを決めやすくなります。
-
その後に、対象に対して情報セキュリティリスクアセスメントを行い、必要な情報セキュリティリスク対応を決めます。
問題の解法手順
各選択肢の整理
ISMSでの位置付け
| 選択肢 | 位置付け | 理由 |
|---|---|---|
| エ | 最初 | 何を満たす必要があるかを把握しないと、後続の計画(リスク評価、対策)を決められないためです。 |
| ア | エの後 | 要求事項や状況を踏まえて、リスクを特定・分析・評価するためです。 |
| イ | アの後 | リスク評価の結果を受けて、対策の方針や内容を決めるためです。 |
| ウ | 運用開始後 | ISMSが要求事項どおりに運用されているかを確認するためです。 |
結論
最初に行うのは「エ 利害関係者のニーズと期待の理解」です。
選択肢ごとの解説
- ア:不正解
情報セキュリティリスクアセスメントは、利害関係者のニーズと期待などの要求事項や、組織の状況を把握した後に、対象の情報資産に対するリスクを特定、分析、評価する工程です。よって最初ではありません。
- イ:不正解
情報セキュリティリスク対応は、情報セキュリティリスクアセスメントで評価したリスクに対して、対応方針や対策内容を決めて実施する工程です。よって、少なくともリスクアセスメントの後になります。
- ウ:不正解
内部監査は、ISMSが要求事項や自組織の規定どおりに運用されているかを確認する活動です。運用の後に実施する活動なので、最初ではありません。
- エ:正解
利害関係者のニーズと期待の理解は、ISMSで何を満たすべきかを決めるための前提となる活動です。この後に、情報セキュリティリスクアセスメントや情報セキュリティリスク対応などの計画を行うため、最初に実施します。
まとめ
ISMSは、最初に組織を取り巻く状況を整理し、利害関係者が情報セキュリティに対して求めている事項を把握します。その内容を前提に、情報セキュリティリスクアセスメントと情報セキュリティリスク対応を計画し、運用後に内部監査などで確認し、継続的に改善します。
テクノロジ系 > 技術要素 > セキュリティ
情報セキュリティリスクアセスメントは、利害関係者のニーズと期待などの要求事項や、組織の状況を把握した後に、対象の情報資産に対するリスクを特定、分析、評価する工程です。よって最初ではありません。
情報セキュリティリスク対応は、情報セキュリティリスクアセスメントで評価したリスクに対して、対応方針や対策内容を決めて実施する工程です。よって、少なくともリスクアセスメントの後になります。
内部監査は、ISMSが要求事項や自組織の規定どおりに運用されているかを確認する活動です。運用の後に実施する活動なので、最初ではありません。
利害関係者のニーズと期待の理解は、ISMSで何を満たすべきかを決めるための前提となる活動です。この後に、情報セキュリティリスクアセスメントや情報セキュリティリスク対応などの計画を行うため、最初に実施します。