ITパスポートの過去問 令和2年度 秋期 テクノロジ系 問69

ISMSとは「情報セキュリティマネジメントシステム」のことで、リスクアセスメントにより情報セキュリティ上のリスクへ対応を行います。
ISMSの構築に置いて、まず最初に行うべきことは自社を取り巻く状況の整理です。内部外部すべての利害関係者のニーズ及び期待を明確にして、リスクや目標などを洗い出していきます。

よって正解は４となります。

その後、適用範囲の決定、「リスク特定」「リスク分析」「リスク評価」などの情報セキュリティリスクアセスメントの実施、計画の策定やPDCAサイクルの運用などの情報セキュリティリスク対応と順次行っていきます。

情報セキュリティマネジメントシステムは、JIS Q 27001:2014で定められてます。
選択肢のうち、「内部監査」は、パフォーマンス評価段階での項目ですので選択肢から外れます。
「内部監査」以外はISMSの確立段階での項目です。
以下の流れになっていますので、最初に行うのは「利害関係者のニーズ及び期待の理解」となります。


抜粋

4. 組織の状況
4.4 情報セキュリティマネジメントの確立 [27001-4.4]
4.4.3 利害関係者のニーズ及び期待の理解 [27001-4.2]
4.4.7 情報セキュリティリスクアセスメント [27001-6.1.2]
4.4.8 情報セキュリティリスク対応 [27001-6.1.3]
9.パフォーマンス評価
9.2 内部監査


したがって、４が正解です。

ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムのことです。これは、組織における情報セキュリティを管理するための仕組みのことです。

選択肢を確認します。

１．不正解です。ISMSの確立後に実施する内容です。

２．不正解です。ISMSの確立後に実施する内容です。

３．不正解です。ISMSの確立後に実施する内容です。

４．正解です。ISMSを確立させる段階で実施する内容です。