分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

ISMSは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムといいます。ISMSは、組織の情報資産について機密性・可用性・完全性を維持することを目的に、セキュリティリスクを管理するための仕組みです。ISO 27001（JIS Q 27001）として標準化されています。

ISMSの主な活動は、大きく次の5つに分けられます。

• フェーズ1：ISMSの適用範囲・ISMS基本方針の確立
• フェーズ2：リスクアセスメントに基づく管理策の選択
• フェーズ3：リスクに適切に対応する計画の策定
• フェーズ4：対応計画の実施
• フェーズ5：パフォーマンス評価・改善

したがって「ウ」の記述が正解です。

• 品質マネジメントの活動です。
• ITサービスマネジメントの活動です。
• 正しい。情報資産を洗い出し、それに関するリスクを特定・分析・評価することは、リスクアセスメントといいます。リスクアセスメントは、ISMSにおける重要な活動の一つです。
• CMMI(Capability Maturity Model Integration：能力成熟度モデル統合)の活動です。