ITパスポート過去問 令和2年度(2020年)問89
PDCAモデルに基づいてISMSを運用している組織の活動において,PDCAモデルのA(Act)に相当するプロセスで実施するものとして,適切なものはどれか。
選択肢
- ア:運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて,見直しと改善策を決定する。
- イ:運用状況の監視や運用結果の測定及び評価を行う。
- ウ:セキュリティポリシの策定や組織内の体制の確立,セキュリティポリシで定めた目標を達成するための手順を策定する。
- エ:セキュリティポリシの周知徹底やセキュリティ装置の導入などを行い,具体的に運用する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
PDCAのA(Act)は、運用状況の監視・測定・評価(Check)で見つかった不備や課題に対して、見直しを行い、是正・改善の内容を決定して次の計画(Plan)に反映する段階です。したがって、Actに該当するのは「ア」です。
Point
ISMSをPDCAモデルで運用するときに、各段階(Plan、Do、Check、Act)で実施する内容を整理できるかを確認する問題です。特にActが「評価結果を受けて、見直しと改善策を決定し、次の計画に反映する段階」である点を理解することがねらいです。
解くために必要な知識
この問題を解くには、ISMSとPDCA(Plan、Do、Check、Act)の役割の理解が必要です。
用語の整理
| 用語 | 意味 |
|---|---|
| ISMS(情報セキュリティマネジメントシステム) | 情報セキュリティを継続的に管理・改善するための仕組みです。方針、体制、手順、運用、評価、改善などを含みます。 |
| PDCA | Plan(計画)、Do(実行)、Check(監視・測定・評価)、Act(是正・改善)の順に繰り返す管理手法です。 |
| セキュリティポリシ | 組織の情報セキュリティに関する基本方針やルールです。 |
PDCA各段階で実施すること(ISMSの考え方)
| 段階 | 実施すること(整理) |
|---|---|
| Plan | 方針、目標、体制、手順、基準、測定方法などを定めます。 |
| Do | 定めた方針や手順に従って運用します。教育、周知、対策の実施などを行います。 |
| Check | 運用状況を監視・測定し、基準や目標に照らして評価します。 |
| Act | Checkの結果を踏まえて見直しを行い、是正・改善の内容を決定し、次のPlanに反映します。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| 監視 | 運用状況を継続的に観察し、逸脱や異常を把握することです。 |
| 測定 | 定めた指標に従って数値や結果を取得することです。 |
| 評価 | 監視・測定結果を基に、基準の達成状況や問題点を判断することです。 |
問題の解法手順
各選択肢の整理
各選択肢の内容を、PDCAのどの段階に当たるかで整理します。
| 選択肢 | 活動内容の要点 | PDCAフェーズ |
|---|---|---|
| ア | 点検結果で明らかになった不備の見直し、改善策の決定 | Act(処置・改善) |
| イ | 運用状況の監視、測定、評価 | Check(点検) |
| ウ | ポリシ策定、体制確立、手順策定 | Plan(計画) |
| エ | 周知徹底、装置導入、具体的な運用 | Do(実行) |
結論
A(Act)は、点検結果を受けて改善策を決める段階なので、「ア」が適切です。
選択肢ごとの解説
- ア:正解
監視や測定・評価(Check)の結果で見つかった不備を見直し、改善策を決定するのはAct(処置・改善)に当たります。
- イ:不正解
不正解です。運用状況の監視や運用結果の測定・評価は、Check(評価)に相当します。
- ウ:不正解
セキュリティポリシの策定、体制の確立、手順の策定は、Plan(計画)に当たります。
- エ:不正解
セキュリティポリシの周知徹底や装置の導入などを行い、具体的に運用するのはDo(実行)に当たります。
まとめ
PDCAのA(Act)は、運用状況の監視・測定・評価(Check)で見つかった不備や課題に対して、見直しを行い、是正・改善の内容を決定して次の計画(Plan)に反映する段階です。したがって、Actに該当するのは「ア」です。
テクノロジ系 > 技術要素 > セキュリティ
監視や測定・評価(Check)の結果で見つかった不備を見直し、改善策を決定するのはAct(処置・改善)に当たります。
不正解です。運用状況の監視や運用結果の測定・評価は、Check(評価)に相当します。
セキュリティポリシの策定、体制の確立、手順の策定は、Plan(計画)に当たります。
セキュリティポリシの周知徹底や装置の導入などを行い、具体的に運用するのはDo(実行)に当たります。