ITパスポート過去問 令和4年度(2022年)問58
ISMSの計画運用,パフォーマンス評価及び改善において,パフォーマンス評価で実施するものはどれか。
選択肢
- ア:運用の計画及び管理
- イ:内部監査
- ウ:不適合の是正処置
- エ:リスクの決定
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ISMSは、計画、運用、パフォーマンス評価、改善の流れで運用します。パフォーマンス評価は、ISMSが要求事項どおりに運用され、目的どおりの結果が出ているかを確認する段階です。この段階で実施する代表的な活動が内部監査であり、選択肢の中では「イ」が該当します。
Point
この問題は、ISMSの活動を「計画」「運用」「パフォーマンス評価」「改善」のどれに当てはまるかを区別できるかを確認しています。内部監査は、運用結果を点検して評価する活動であり、パフォーマンス評価に分類することがポイントです。
解くために必要な知識
この問題を解くには、ISMSにおける計画、運用、パフォーマンス評価、改善の対応関係を理解している必要があります。
用語の整理
| 用語 | 内容 |
|---|---|
| ISMS | Information Security Management System(情報セキュリティマネジメントシステム)です。情報セキュリティを継続的に管理し、改善するための仕組みです。 |
| パフォーマンス評価 | ISMSの有効性や適合状況を、監視、測定、分析、評価によって確認する活動です。内部監査やマネジメントレビューなどが含まれるとされます。 |
| 内部監査 | 組織内部で、ISMSが要求事項、規程、手順どおりに運用されているかを客観的に確認する監査です。 |
他の選択肢に出てくる用語
| 用語 | 内容 |
|---|---|
| 是正処置 | 発生した不適合の原因を除去し、再発を防止するための処置です。 |
| リスクの決定 | リスク評価結果に基づき、リスク対応(低減、回避、移転、受容など)を選ぶことです。 |
| 運用の計画及び管理 | 定めた手順やルールに従って運用を実施し、必要な管理を行うことです。 |
問題の解法手順
ISO/IEC 27001では、ISMSの活動を計画・運用・パフォーマンス評価・改善に分類します。問題文は「パフォーマンス評価で実施するもの」を問うため、各選択肢がどの分類に入るかを整理します。
各選択肢の整理
| 選択肢 | 内容 | 属する分類 | 正誤 |
|---|---|---|---|
| ア | 運用の計画及び管理 | 運用 | ✕ |
| イ | 内部監査 | パフォーマンス評価 | ○ |
| ウ | 不適合の是正処置 | 改善 | ✕ |
| エ | リスクの決定 | 計画 | ✕ |
選択肢ごとの解説
- ア:不正解
「運用の計画及び管理」は、計画した管理策を実行し、運用を回すための活動なので「運用」に分類されます。パフォーマンス評価ではありません。
- イ:正解
「内部監査」は、ISMSが規格の要求事項や組織の要求事項に適合しているかを確認する活動なので「パフォーマンス評価」に分類されます。したがって正解です。
- ウ:不正解
「不適合の是正処置」は、問題の原因を除去して再発を防止する活動なので「改善」に分類されます。パフォーマンス評価ではありません。
- エ:不正解
「リスクの決定」は、リスクアセスメントでリスクを評価して扱いを決めることを指す表現と考えられ、「計画」に分類されます。パフォーマンス評価ではありません。
まとめ
ISMSは、計画、運用、パフォーマンス評価、改善の流れで運用します。パフォーマンス評価は、ISMSが要求事項どおりに運用され、目的どおりの結果が出ているかを確認する段階です。この段階で実施する代表的な活動が内部監査であり、選択肢の中では「イ」が該当します。
テクノロジ系 > 技術要素 > セキュリティ
「運用の計画及び管理」は、計画した管理策を実行し、運用を回すための活動なので「運用」に分類されます。パフォーマンス評価ではありません。
「内部監査」は、ISMSが規格の要求事項や組織の要求事項に適合しているかを確認する活動なので「パフォーマンス評価」に分類されます。したがって正解です。
「不適合の是正処置」は、問題の原因を除去して再発を防止する活動なので「改善」に分類されます。パフォーマンス評価ではありません。
「リスクの決定」は、リスクアセスメントでリスクを評価して扱いを決めることを指す表現と考えられ、「計画」に分類されます。パフォーマンス評価ではありません。