ITパスポート過去問 令和8年度(2026年)問93
次のISMSにおける実施項目のうち,最初に行うものはどれか。
選択肢
- ア:ISMSの適用範囲の決定
- イ:情報セキュリティリスクアセスメント
- ウ:情報セキュリティリスク対応
- エ:内部監査
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSは、まずISMSの対象とする組織、拠点、業務、情報資産などの適用範囲を決めます。適用範囲が決まらないと、どの情報資産を対象にリスクアセスメントを行うか、どの管理策を適用するかを決められません。適用範囲の決定の後に、リスクアセスメント、リスク対応を行い、運用状況の確認として内部監査を実施します。
Point
この問題は、ISMSの構築と運用で行う作業の順序を理解しているかを確認するものです。特に、情報セキュリティリスクアセスメントや情報セキュリティリスク対応を行う前提として、適用範囲の決定が必要であることを押さえることがねらいです。
解くために必要な知識
この問題を解くには、ISMSで実施する作業の順序と、各作業の関係を理解している必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 組織の情報セキュリティを管理するための仕組みであり、方針、手順、体制などを含みます。ISO/IEC 27001で要求事項が定められています。 |
| 適用範囲 | ISMSの対象とする組織、拠点、業務、情報資産の範囲です。 |
| 情報セキュリティリスクアセスメント | 適用範囲内の情報資産について、脅威や脆弱性などを踏まえてリスクを特定し、評価する活動です。 |
| 情報セキュリティリスク対応 | リスクアセスメント結果を受けて、リスクの低減、回避、移転、受容などの方針を決め、対策を実施する活動です。 |
| 内部監査 | ISMSが要求事項や組織のルールに適合し、有効に運用されているかを組織内で確認する活動です。 |
ISMSでの基本的な順序
| 順序 | 実施項目 | 先に行う理由 |
|---|---|---|
| 1 | 適用範囲の決定 | 対象が決まらないと、何のリスクを評価するかが決められません。 |
| 2 | 情報セキュリティリスクアセスメント | 適用範囲内の情報資産に対するリスクを評価します。 |
| 3 | 情報セキュリティリスク対応 | 評価したリスクに対して対策を決めて実施します。 |
| 4 | 内部監査 | 構築して運用した結果を確認します。 |
問題の解法手順
各実施項目を時系列で整理する
1. 適用範囲の決定
ISMSの対象(組織、拠点、業務、情報資産)を決めます。
2. 情報セキュリティリスクアセスメント
決めた適用範囲の中にある情報資産を対象に、リスクを特定して評価します。
3. 情報セキュリティリスク対応
リスクアセスメント結果に基づき、低減、回避、移転、受容などの対応を決定して実施します。
4. 内部監査
構築して運用しているISMSが、要求事項に適合しているか、有効に運用されているかを確認します。
最初に行う項目を選ぶ
最初に行うのは、後続作業の対象を確定させる適用範囲の決定です。したがって正解はアです。
選択肢ごとの解説
- ア:正解
適用範囲を最初に決めます。適用範囲が決まらないと、対象となる情報資産や、リスクアセスメントの対象(拠点、業務、システム)を確定できないためです。
- イ:不正解
情報セキュリティリスクアセスメントは適用範囲決定の後に行います。対象範囲が未確定のままでは、評価する情報資産や想定すべき脅威、脆弱性が定まりにくいためです。
- ウ:不正解
情報セキュリティリスク対応はリスクアセスメントの後に行います。リスクの大きさや優先度が分からない状態では、低減、移転、回避、受容のどれを選ぶかや、管理策の適用範囲を決められないためです。
- エ:不正解
内部監査は、ISMSを一定期間運用した後に実施します。規程や手順どおりに運用されているか、有効性があるかを点検する活動なので、設計、実施前に行っても確認対象が不足するためです。
まとめ
ISMSは、まずISMSの対象とする組織、拠点、業務、情報資産などの適用範囲を決めます。適用範囲が決まらないと、どの情報資産を対象にリスクアセスメントを行うか、どの管理策を適用するかを決められません。適用範囲の決定の後に、リスクアセスメント、リスク対応を行い、運用状況の確認として内部監査を実施します。
理解すべき用語
テクノロジ系 > 技術要素 > セキュリティ
適用範囲を最初に決めます。適用範囲が決まらないと、対象となる情報資産や、リスクアセスメントの対象(拠点、業務、システム)を確定できないためです。
情報セキュリティリスクアセスメントは適用範囲決定の後に行います。対象範囲が未確定のままでは、評価する情報資産や想定すべき脅威、脆弱性が定まりにくいためです。
情報セキュリティリスク対応はリスクアセスメントの後に行います。リスクの大きさや優先度が分からない状態では、低減、移転、回避、受容のどれを選ぶかや、管理策の適用範囲を決められないためです。
内部監査は、ISMSを一定期間運用した後に実施します。規程や手順どおりに運用されているか、有効性があるかを点検する活動なので、設計、実施前に行っても確認対象が不足するためです。