問題本文
情報セキュリティマネジメントシステム(ISMS)では,"PDCA"のアプローチを採用している。Dの段階で行うものはどれか。
選択肢
- ア.ISMSの運用に対する監査を定期的に行う。
- イ.ISMSの基本方針を定義する。
- ウ.従業者に対して,ISMS運用に関する教育と訓練を実施する。
- エ.リスクを評価して,対策が必要なリスクとその管理策を決める。
正解
ウ. 従業者に対して,ISMS運用に関する教育と訓練を実施する。
解説
ISMSのPDCAサイクル: ①P(Plan)=ISMS基本方針定義・リスクアセスメント・管理策決定。②D(Do)=ポリシ周知徹底・装置導入・運用、教育訓練実施(本問の正解)。③C(Check)=監査・運用評価。④A(Act)=不備の見直し・改善。教育訓練はDの段階に該当する。「策定する」=P、「運用・実施・周知」=D、「評価・監査」=C、「改善」=Aと対応関係を覚える。
選択肢ごとの解説
- ア.不正解。ISMS運用に対する監査はC(Check)段階の活動。Dではなく、運用評価のフェーズに該当する。
- イ.不正解。ISMS基本方針の定義はP(Plan)段階の活動。Dではなく、計画策定のフェーズに該当する。
- ウ.正解。従業者へのISMS運用に関する教育と訓練の実施はD(Do)段階の活動。策定された方針・手順を実際に運用するための周知・徹底はDoに含まれる活動で、実施フェーズの代表例。
- エ.不正解。リスク評価と対策・管理策の決定はP(Plan)段階の活動。リスクアセスメントは計画段階で行うもので、Doではない。
ITパスポート 2011年 (平成23年 特別) の過去問一覧へ戻る・問84