問題
問77
PDCAモデルに基づいてISMSを運用している組織の活動において、リスクマネジメントの活動状況の監視の結果などを受けて、是正や改善措置を決定している。この作業は、PDCAモデルのどのプロセスで実施されるか。
- P
- D
- C
- A
[出典:ITパスポート試験 令和3年度 問77]
スポンサーリンク
正解
正解は「エ」です。
解説
正解は「エ(A)」です。PDCAモデルとは、Plan(計画)→ Do(実行)→ Check(確認)→ Act(改善)という4つのステップから成る継続的改善のためのマネジメント手法です。ISMS(情報セキュリティマネジメントシステム)においても、このPDCAサイクルに沿って組織の情報セキュリティを維持・改善していきます。
今回の問題では、「監視の結果を受けて、是正や改善措置を決定している」とあります。この行動はまさに「改善」のステップに該当します。PDCAの「A(Act)」は、Check(確認)フェーズで得られた結果や課題に基づいて、再発防止策やプロセス改善策などを講じるフェーズです。つまり、評価結果をもとに実際の業務改善を実施する段階になります。
例えば、あなたがレストランのマネージャーだとして、「お客様アンケートをもとに接客態度に問題があったと判明」した場合、それをもとに「スタッフの教育を見直す」といった改善行動をとるのがActです。今回のISMSにおける「改善措置を決定する」もまさにこの例と同じ構造であることから、正解は「A(Act)」になります。
ア(P):
P(Plan)は計画フェーズであり、情報セキュリティ方針の策定やリスクアセスメント、対応策の計画を立てる段階です。「監視の結果を受けて改善措置を決定する」という行動とはタイミングが異なります。
イ(D):
D(Do)は計画に基づいた運用実施フェーズであり、実際のセキュリティ対策や教育、運用などを行うステージです。改善策を「決定する」ことはこのフェーズでは行いません。
ウ(C):
C(Check)は運用状況の監視や評価を行うフェーズで、「監視の結果を得る」までの工程に該当します。改善策を決定するのはその次の「A(Act)」フェーズです。
難易度
普通
PDCAモデルの基本を理解していれば解ける問題ですが、ISMSの具体的な運用例と照らし合わせる必要があるため、初心者にはやや混乱しやすい可能性があります。
スポンサーリンク
用語補足
PDCAモデル:
業務改善のサイクルで、Plan(計画)→ Do(実行)→ Check(確認)→ Act(改善)の4段階で構成されます。例えば、ダイエットで「計画(食事制限のプラン)→実行→結果の確認→改善」する流れがPDCAです。
ISMS(情報セキュリティマネジメントシステム):
組織の情報セキュリティを体系的に管理・維持・改善するための枠組みです。会社でお客様の情報を守るためのルールや運用方法を決めて、チェックして、改善する仕組みと考えると理解しやすいです。
対策
PDCAモデルの各フェーズが具体的にどんな活動に当てはまるのかを理解しておくことが重要です。ISMSなど実際の業務シナリオの中でPDCAがどのように使われているかを関連付けて学ぶことで、応用問題にも対応できます。特に「Checkで確認し、Actで改善する」流れを押さえておくとよいでしょう。
