分野：ストラテジ系
中分類：法務
小分類：標準化関連

情報セキュリティマネジメントシステムISMSの確立・運用における主な作業をかなり大まかに説明します。

1. ISMS取得への準備～基本方針の定義

まず最初に認証に向けて組織の体制作りをしたり、ISMSの適用範囲を決めます。
情報セキュリティ活動の方向性、法令・義務などを考慮して、ISMS基本方針を定義します。

2. リスクアセスメントの実施

リスクアセスメントを行い、洗い出されたリスクを識別・分析および評価します。

3. リスク対応の選択

リスクに対しての適切な対応策を選択します。

4. 経営陣の承認を得る

3.の結果残った残留リスクと、ISMS導入・運用について経営陣の承認を得ます。

5. 適用宣言書の作成

管理目的及び管理策、基準書・規定類などから構成される適用宣言書を作成します。

したがって問題文①、②、③の順序は、

　③リスクの分析と評価→②リスク対応のための管理目的及び管理策の選択→①適用宣言書の作成

が正しいことになります。