情報を分類する理由は何ですか?

ISMS における情報セキュリティリスク評価プロセスの正しいシーケンスを選択します。
シーケンスを完了するには、完了したい空白セクションをクリックして赤くハイライト表示し、下のオプションから該当するテキストをクリックします。または、オプションを適切な空白にドラッグアンドドロップすることもできます。

IT 部門の新メンバーとして、機密情報が何度も漏洩していることに気付きました。これは会社の評判を傷つける可能性があります。ラップトップ コンピューターを保護するための組織的な対策を提案するように依頼されました。この対策を考案するための構造化されたアプローチの最初のステップは何ですか。

シナリオ 7: Lawsy は、ニュージャージー州とニューヨーク市にオフィスを構える大手法律事務所です。50 名を超える弁護士が、ビジネス法、商法、知的財産、銀行、金融サービス分野のクライアントに高度な法律サービスを提供しています。同社は、情報セキュリティのベスト プラクティスを実装し、技術開発の最新情報を把握することに注力しているため、市場で安定した地位を築いていると考えています。
Lawsy は、これまで 2 年間にわたり、ISMS の内部監査を厳密に実装、評価、実施してきました。
現在、同社は、よく知られた信頼できる認証機関である ISMA に ISO/IEC 27001 認証を申請しています。
ステージ 1 監査では、監査チームが実装中に作成されたすべての ISMS ドキュメントをレビューしました。
また、経営レビューや内部監査の記録も確認し、評価しました。
Lawsy は、必要に応じて不適合に対する是正措置が実行されたことを示す証拠の記録を提出したため、監査チームは内部監査員にインタビューを行いました。インタビューでは、内部監査の計画と手順に関する詳細な情報が提供され、内部監査の妥当性と頻度が検証されました。
監査チームは、情報セキュリティ ポリシーやリスク評価基準などの戦略文書の検証を継続しました。情報セキュリティ ポリシーのレビュー中に、チームはガバナンス フレームワーク (情報セキュリティ ポリシー) を記述した文書化された情報と手順の間に矛盾があることに気付きました。
従業員は職場の外にラップトップを持ち出すことが許可されていましたが、Lawsy 社ではそのような場合のラップトップの使用に関する手順が定められていませんでした。ポリシーでは、ラップトップの使用に関する一般的な情報のみが提供されていました。同社は、ラップトップに保存されている情報の機密性と完全性を保護するために、従業員の常識に頼っていました。この問題は、第 1 段階の監査レポートに記録されていました。
ステージ 1 監査を完了すると、監査チーム リーダーは監査の目的、範囲、基準、および手順を定めた監査計画を作成しました。
ステージ 2 の監査中、監査チームは情報セキュリティ ポリシーを起草した情報セキュリティ マネージャーにインタビューしました。彼は、Lawsy が 3 か月ごとに必須の情報セキュリティ トレーニングと意識向上セッションを実施していると述べて、ステージ 1 で特定された問題を正当化しました。
インタビューの後、監査チームは従業員研修記録 15 件 (50 件中) を検査し、Lawsy が研修と意識向上に関する ISO/IEC 27001 の要件を満たしていると結論付けました。この結論を裏付けるために、検査した従業員研修記録のコピーを作成しました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 7 に基づいて、ステージ 2 監査の開始前に Lawsy は何をすべきでしょうか?

誰がデータ/ドキュメントにアクセスできるかを知るための基準は何でしょうか?