戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2020年 秋期 69


問題文

ISMSの確立、実施、維持及び継続的改善における次の実施項目のうち、最初に行うものはどれか。

選択肢

情報セキュリティリスクアセスメント
情報セキュリティリスク対応
内部監査
利害関係者のニーズと期待の理解(正解)

🔒 解説は解答すると表示されます

ISMSの確立、実施、維持及び継続的改善における最初の実施項目【ITパスポート 解説】

正解の理由

ISMS(Information Security Management System:情報セキュリティマネジメントシステム)を作るときは、まず「組織の置かれた状況」をはっきりさせます。ここでいう「利害関係者のニーズと期待の理解」は、誰が何を求めているか(顧客、規制当局、取引先、社員など)を把握する作業です。これがないと、何を守るべきか・どのリスクを重視するかが決められません。したがって最初に行うべきは です。
理由を一言でまとめると、
  • 「まず対象(何を守るか)と条件(法令や契約など)を決める」→ それに基づいてリスク評価や対応策を行う、という順序になるからです。
(補足)ISO/IEC 27001の考え方でも、最初に「組織の状況の理解」と「利害関係者のニーズと期待の把握」を行うことが示されています。

解法ステップ

初学者向けに順を追って説明します。ISMSの流れを簡単に5ステップに分けるとこうなります。
  1. 組織の状況と利害関係者の把握(←最初に行う:
    • 誰が関係しているか(顧客、規制当局、取引先、社員など)
    • それぞれの期待や要求(法律、契約、事業目的)を整理する
  2. スコープと情報セキュリティ方針の決定
    • ISMSで対象にする範囲を明確化する
  3. 情報セキュリティリスクアセスメント(選択肢ア)
    • 資産・脅威・脆弱性を洗い出し、リスクの大きさを評価する
  4. 情報セキュリティリスク対応(選択肢イ)
    • リスクを受容するか、削減するか、移転(保険等)するか、回避するかを決め実施する
  5. 実施後の監視・評価(内部監査など:選択肢ウ)
    • 運用状況を内部監査でチェックし、改善を続ける(PDCAサイクル)
この順序を守ることで、無駄のない実施ができます。

選択肢別の誤答解説

  • ア: 情報セキュリティリスクアセスメント
    誤りの理由:リスク評価は重要ですが、何を評価するかを決めるために事前に利害関係者のニーズや組織の状況を把握する必要があります。対象や要求が未整理だと評価の基準が不明確になります。
  • イ: 情報セキュリティリスク対応
    誤りの理由:リスク対応(対策の実行)は、リスクアセスメントでリスクの大きさを評価した後に行います。先に対応を決めるのは順序が逆です。
  • ウ: 内部監査
    誤りの理由:内部監査は実施後に運用の適合性や有効性を確認する活動です。ISMSを確立して運用したあとに行うもので、最初に行うものではありません。

よくある誤解

  1. 「まずリスク評価をすればよい」と思う
    • いきなりリスク評価を始めると、何を守るべきかの優先順位や守る根拠(法律・契約)を見落としがちです。まずは利害関係者の理解から始めます。
  2. 「利害関係者の理解は簡単だから省略してよい」と考える
    • 小さい組織でも顧客要求や法令はあります。これを無視すると、後で重大な見落とし(例えば法令違反)につながります。
  3. 「内部監査=セキュリティチェック」と混同する
    • 内部監査はチェックする活動ですが、対象や基準(方針・要求)は事前に決めておく必要があります。これは最初のステップで決まります。

補足コラム

利害関係者(interested parties:インタレスト・パーティーズ)は、直訳すると「関心を持つ人々」です。具体例を挙げると:
  • 顧客:サービスの安全性を求める
  • 規制当局:法令に従った運用を求める
  • 取引先:機密情報の保護を求める
  • 社員:個人情報や業務データの適切な取り扱いを求める
まずこれらを洗い出し、どの要求がISMSに影響するかを明確にすると、以降の作業がスムーズになります。覚え方のコツは「誰が、何を、どの程度求めているか」を3点で整理することです。
また、ISMSはPDCA(Plan-Do-Check-Act:計画・実行・評価・改善)という考え方で継続的に改善します。最初の「Plan」に該当するのが、利害関係者の理解とリスク評価の準備です。

FAQ

Q1. 利害関係者の洗い出しはどれくらい詳しくやるべきですか?
A1. まずは主要なステークホルダー(顧客、法令担当、主要取引先、経営層、社員)を押さえます。後で詳細が必要になれば追加で深掘りすれば良いです。
Q2. 「利害関係者のニーズ」はどうやって確認しますか?
A2. 契約書、法令、顧客からの要求、社内規程、過去のインシデント記録などを確認します。面談やアンケートで直接聞く方法も有効です。
Q3. 小さな会社でも同じ手順が必要ですか?
A3. 基本手順は同じです。規模に応じて簡素化して実施できます。重要なのは「誰が何を求めているか」を明確にすることです。

関連キーワード: ISMS, 利害関係者, リスクアセスメント, リスク対応, 内部監査, PDCA, ISO27001, 情報セキュリティ管理
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について