分野 ：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ管理

ISMSは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムといいます。ISMSは、組織の情報資産について機密性・可用性・完全性を維持することを目的に、セキュリティリスクを管理するための仕組みです。ISO 27001（JIS Q 27001）として標準化されています。

ISMSの主な活動は、大きく次の5つに分けられます。

• フェーズ1：ISMSの適用範囲・ISMS基本方針の確立
• フェーズ2：リスクアセスメントに基づく管理策の選択
• フェーズ3：リスクに適切に対応する計画の策定
• フェーズ4：対応計画の実施
• フェーズ5：パフォーマンス評価・改善

ISMSの活動で最初に行うべきことは、ISMSの適用範囲を決めることです。ISMSの適用範囲とは、管理の対象とする部門・業務・拠点・情報資産を明確にし、その境界を定めることです。この適用範囲を前提としてISMSは構築されます。

したがって「ア」が適切です。

• 正しい。ISMSの適用範囲の決定は、ISMSを確立する際に最初に実施する項目です。
• 情報セキュリティリスクアセスメントは、基本方針を策定した後に実施されます。
• 情報セキュリティリスク対応は、リスク対応計画を実施する段階で行われます。
• 内部監査は、ISMSのパフォーマンスを評価し、改善する段階で実施されます。