問題本文
ISMSの運用において,監査結果をインプットとし,ISMSを継続的に改善するための是正処置及び予防処置を行うプロセスはPDCAサイクルのどれにあたるか。
解説
正答はエ. ISMSの運用におけるPDCAサイクルで, 監査結果をインプットとしISMSを継続的に改善するための是正処置及び予防処置を行うプロセスはA (Act, 改善・処置) に該当する. P (Plan) =セキュリティポリシ策定・リスクアセスメント, D (Do) =対策実施・運用, C (Check) =監視・監査・有効性評価, A (Act) =監査結果や改善要件に基づくシステム是正・予防処置. 監査→改善のサイクルがISMSの本質で, JIS Q 27001でも継続的改善が要求される基本構造である.
選択肢ごとの解説
- ア.P (Plan, 計画) はISMSの方針策定・リスクアセスメント・対応策の計画段階であり, 監査結果に基づく改善処置とは異なる段階. 計画立案が中心の段階で改善のAとは別ステップであり誤り. 計画フェーズ. 試験頻出概念で確実な理解が必要となる選択肢.
- イ.D (Do, 実行) は計画されたISMSの対策を実際に運用・実施する段階であり, 監査結果に基づく改善処置とは異なる段階. 実行が中心の段階で改善のAとは別ステップで誤り. 運用フェーズに分類される. 試験頻出概念で確実な理解が必要となる選択肢.
- ウ.C (Check, 評価・監視) は運用しているISMSの有効性を監視・測定・監査する段階であり, 監査結果を作る側. 監査結果を受けて改善するAとは異なる段階で別ステップであり誤り. 評価フェーズに分類される. 試験頻出概念で確実な理解が必要となる選択肢.
- エ.A (Act, 改善・処置) は監査結果や評価結果をインプットとして是正処置及び予防処置を行いISMSを継続的に改善する段階で問題文に完全合致する正答. 監査→改善のサイクルでPDCAの輪を完結させる重要なステップ. 試験頻出概念で確実な理解が必要となる選択肢.
ITパスポート 2015年 (平成27年 春期) の過去問一覧へ戻る・問75