問題
問75
ISMS の“計画”,“運用”,“パフォーマンス評価”及び“改善”において,“パフォーマンス評価”で実施するものはどれか。
- 情報セキュリティリスクアセスメント
- 内部監査
- 不適合の是正処置
- リスクの決定
[出典:ITパスポート試験 平成29年度春期 問75]
正解
正解は「イ」です。
解説
正解は「イ. 内部監査」です。 ISMS(情報セキュリティマネジメントシステム)は、情報セキュリティを継続的に改善していくための仕組みであり、PDCAサイクル(計画:Plan、実行:Do、点検:Check、改善:Act)に基づいて運用されます。 この問題で問われている「パフォーマンス評価」は、PDCAサイクルの「Check(点検)」のフェーズに該当します。
「Check(点検)」フェーズでは、情報セキュリティ対策が計画どおりに実施され、期待どおりの効果が出ているかを確認します。そのための主要な活動の一つが内部監査です。 内部監査では、組織内の情報セキュリティのルールや手順が守られているか、ISMSが適切に機能しているかなどを独立した立場の人が客観的に評価します。
これは、会社が自分の健康状態を定期的にチェックする健康診断のようなもので、問題がないか、より良くできる点はないかを探る大切な活動なのです。
ア(情報セキュリティリスクアセスメント):
情報セキュリティリスクアセスメントは、ISMSの「計画(Plan)」フェーズで実施される活動です。情報資産に対する脅威や脆弱性を分析し、リスクを特定・評価します。
ウ(不適合の是正処置):
不適合の是正処置は、ISMSの「改善(Act)」フェーズで実施される活動です。パフォーマンス評価などで発見された不適合(ルールからの逸脱など)の原因を取り除き、再発を防ぐための対策を行います。
エ(リスクの決定):
リスクの決定は、ISMSの「計画(Plan)」フェーズの一部であるリスクアセスメントの過程で実施されます。特定されたリスクの中から、どのリスクを許容し、どのリスクに対して対策を講じるかを決定する段階です。
難易度
この問題は、情報セキュリティマネジメントシステム(ISMS)のPDCAサイクルの各フェーズでどのような活動が行われるかを理解していれば、比較的解きやすい問題です。特に「パフォーマンス評価」がPDCAサイクルの「Check(点検)」に該当し、その中心的な活動が「内部監査」であることを覚えていれば、初学者でも正解にたどり着けるでしょう。
用語補足
ISMS:
ISMS(Information Security Management System)は、組織が情報セキュリティを管理・運用するための体系的な仕組みです。情報を安全に保つためのルールや手順を定め、PDCAサイクルで継続的に改善していきます。例えば、会社で顧客データや機密情報を扱う際に、それが漏洩しないようにどんなルールを作り、どう実行し、どうチェックして改善していくか、という一連の活動全体がISMSです。
内部監査:
内部監査とは、組織が自身の情報セキュリティ対策(ISMSなど)がきちんと計画通りに実施され、有効に機能しているかを、組織内の独立した立場の人がチェックする活動です。例えば、会社の情報セキュリティ担当者が、実際にルールが守られているか、システムに問題がないかなどを定期的に確認し、改善点を報告することです。
リスクアセスメント:
リスクアセスメントとは、情報セキュリティにおけるリスクを特定し、そのリスクがどれくらいのレベルで、どれくらいの影響があるかを評価する一連のプロセスです。例えば、会社のサーバーがサイバー攻撃を受ける可能性(脅威)や、システムに弱点(脆弱性)がないかを見つけ出し、それが事業にどれほどの損害を与えるかを分析することです。
是正処置:
是正処置とは、情報セキュリティ上の問題や不具合(不適合)が発生した際に、その原因を特定し、同じ問題が二度と起きないように根本的な対策を講じることです。例えば、従業員が誤って機密情報を外部にメールで送ってしまった場合、単にそのメールを削除するだけでなく、なぜそのようなミスが起きたのか原因を究明し、再発防止のために研修を強化したり、システムの設定を変更したりすることです。
対策
この問題を解くためのポイントは、ISMS(情報セキュリティマネジメントシステム)のPDCAサイクルと、それぞれのフェーズでどのような活動が行われるかを正確に理解することです。特に、「パフォーマンス評価」がPDCAサイクルの「Check(点検)」に相当し、その中核活動として「内部監査」が位置づけられていることを覚えましょう。他の選択肢がどのフェーズに該当するかも合わせて確認しておくと、関連問題にも対応できるようになります。
