問題
問86
PDCAモデルに基づいてISMSを運用している組織において、C(Check)で実施することの例として、適切なものはどれか。
- 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
- 具体的な対策と目標を決めるために、サーバ室内の情報資産を洗い出す。
- サーバ管理者の業務内容を第三者が客観的に評価する。
- 定められた運用手順に従ってサーバの動作を監視する。
[出典:ITパスポート試験 令和6年度 問86]
スポンサーリンク
正解
正解は「ウ」です。
解説
PDCAサイクルは、「Plan(計画)」、「Do(実行)」、「Check(評価)」、「Act(改善)」の4つの段階から成り立っています。ISMS(情報セキュリティマネジメントシステム)における「Check」の段階では、計画された活動が適切に実施されているか、またその効果を測定するための評価を行います。
選択肢ウの「サーバ管理者の業務内容を第三者が客観的に評価する」は、評価プロセスに該当し、適切な選択肢です。
ア(業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する):
この選択肢は「Act(改善)」の段階に該当します。評価の結果をもとにした改善措置は「Check」ではなく「Act」にあたります。
イ(具体的な対策と目標を決めるために、サーバ室内の情報資産を洗い出す):
これは「Plan(計画)」の段階に該当し、現状を把握し、具体的な対策や目標を立てるためのプロセスにあたります。
エ(定められた運用手順に従ってサーバの動作を監視する):
これは「Do(実行)」の段階に該当し、計画通りに運用を行う活動にあたります。
難易度
普通
PDCAサイクルに関する基本的な知識を問う問題ですが、どの段階に該当するかを正確に把握していないと混乱する可能性があります。
スポンサーリンク
用語補足
PDCAサイクル:
組織の継続的な改善を図るための管理手法で、「計画(Plan)」「実行(Do)」「評価(Check)」「改善(Act)」の4段階から成り立っています。例えば、セキュリティ対策の有効性を測るための監査も「Check」に該当します。
ISMS:
Information Security Management System(情報セキュリティマネジメントシステム)の略称で、組織が情報資産の機密性、完全性、可用性を管理するための枠組みです。
対策
- PDCAサイクルの各段階の目的と具体的な活動内容を整理し、違いを理解することが重要です。
- ISMSの運用において、各フェーズで実施する内容(監査、改善、計画策定など)を明確に区別できるようにしましょう。
