ITパスポート過去問 令和3年度(2021年)問77
PDCAモデルに基づいてISMSを運用している組織の活動において,リスクマネジメントの活動状況の監視の結果などを受けて,是正や改善措置を決定している。この作業は,PDCAモデルのどのプロセスで実施されるか。
選択肢
- ア:P
- イ:D
- ウ:C
- エ:A
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
監視や測定などの結果を受けて、是正や改善措置を決定する作業は、PDCAモデルのA(Act)で実施されます。C(Check)で活動状況を監視・評価し、その結果を踏まえてA(Act)で是正措置や改善措置を決めて実行します。
Point
この問題は、PDCAモデルの各プロセスが行う作業の違いを理解しているかを確認するものです。特に、監視や評価の結果を受けて、是正や改善の内容を決める作業がC(Check)ではなくA(Act)に該当する点が問われています。
解くために必要な知識
この問題を解くには、PDCAとISMS運用(監視・是正・改善)の関係の理解が必要です。
用語の整理
| 用語 | 意味 |
|---|---|
| PDCA | Plan(計画)、Do(実行)、Check(評価)、Act(改善)を繰り返して管理の水準を保ち、必要に応じて見直す考え方です。 |
| ISMS(情報セキュリティマネジメントシステム) | 情報セキュリティを継続的に管理し、見直しと改善を行うための仕組みです。 |
| リスクマネジメント | リスクを特定・分析・評価し、対応(低減・移転・回避・受容など)を決め、運用し、状況を見直す一連の活動です。 |
| 是正処置 | 不適合(問題)が起きたときに、原因を取り除き、再発を防ぐための処置です。 |
| 改善 | 運用の結果を踏まえて、仕組みや手順をより適切にする活動です。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| P(Plan) | 方針・目標・手順・管理策などを定め、実施内容を計画します。 |
| D(Do) | 計画した管理策や手順に従って運用します。 |
| C(Check) | 監視・測定・内部監査・レビューなどで、達成状況や有効性を評価します。 |
| A(Act) | 評価結果に基づいて、是正や改善を決定し、仕組みや手順を見直して更新します。 |
選択肢ごとの解説
- ア:不正解
P(Plan:計画)は、目標設定やリスクアセスメント、管理策の計画を行う段階です。監視結果を受けて是正・改善措置を決定する段階ではありません。
- イ:不正解
D(Do:実行)は、計画した管理策を導入し、運用する段階です。是正・改善措置を決定する段階ではありません。
- ウ:不正解
C(Check:点検)は、運用状況の監視・測定や評価を行う段階です。是正・改善措置の決定は、この結果を受けた次のAで行うのが基本です。
- エ:正解
A(Act:改善)は、点検結果や監視結果を受けて、是正処置や改善措置を決定し、運用へ反映する段階です。問題文の作業内容に合致します。
まとめ
監視や測定などの結果を受けて、是正や改善措置を決定する作業は、PDCAモデルのA(Act)で実施されます。C(Check)で活動状況を監視・評価し、その結果を踏まえてA(Act)で是正措置や改善措置を決めて実行します。
テクノロジ系 > 技術要素 > セキュリティ
P(Plan:計画)は、目標設定やリスクアセスメント、管理策の計画を行う段階です。監視結果を受けて是正・改善措置を決定する段階ではありません。
D(Do:実行)は、計画した管理策を導入し、運用する段階です。是正・改善措置を決定する段階ではありません。
C(Check:点検)は、運用状況の監視・測定や評価を行う段階です。是正・改善措置の決定は、この結果を受けた次のAで行うのが基本です。
A(Act:改善)は、点検結果や監視結果を受けて、是正処置や改善措置を決定し、運用へ反映する段階です。問題文の作業内容に合致します。