問題本文
ISMSを構築する組織において,企業の経営方針に基づいて情報セキュリティ基本方針を策定した。これは,ISMSのPDCAサイクルのどのプロセスで実施されるか。
解説
ISMS(情報セキュリティマネジメントシステム,JIS Q 27001)はPDCAサイクルで運用される. P(Plan):情報セキュリティ基本方針策定・体制確立・手順策定,D(Do):計画に基づく具体的運用・実施,C(Check):稼働状況の監視・評価・有効性測定,A(Act):見直しと改善実施というサイクル. 経営方針に基づく基本方針の策定は方針・計画段階に当たり,PDCAのP(Plan)で実施される. 「方針策定=P」が即対応の鍵で,DはPで作った仕組みの実施,Cは評価,Aは改善というマッピングを整理しておくと類似問題でも迷わない.
選択肢ごとの解説
- ア.正解. ISMS構築において経営方針に基づく情報セキュリティ基本方針の策定は,PDCAのP(Plan,計画)プロセスで実施される. ISMS適合性評価制度でも,基本方針の確立・運用範囲の決定・リスクアセスメント計画の策定等はPの段階に位置付けられる. 方針策定=Pというマッピングが本問の核心となる.
- イ.誤り. D(Do)は,Pで策定した方針・計画に基づいて,実際にセキュリティ対策を運用・実施する段階. 方針そのものを策定するのは前工程のPであり,Dは方針の実行段階となるため,基本方針策定をDに割り当てるのは誤り. 計画(P)と実施(D)の役割分担を取り違えないこと.
- ウ.誤り. C(Check)は,Dで運用した結果を監視・評価する段階で,目標との比較や有効性測定が中心. 基本方針策定そのものはCではなく,前工程のP(計画)に該当する. PDCAサイクルの各段階の役割を取り違えた誤答で,計画段階と評価段階を区別する必要がある.
- エ.誤り. A(Act,改善)は,Cの評価結果を踏まえて方針・手順を見直し,継続的改善を実施する段階. 新規の基本方針策定そのものは前工程のP(計画)に該当し,Aは見直し・修正の段階となる. 新規策定と見直しを混同しがちだが,新規策定はPが基本である.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問78