問題本文
ISMSの"計画","運用","パフォーマンス評価"及び"改善"において,"パフォーマンス評価"で実施するものはどれか。
選択肢
- ア.情報セキュリティリスクアセスメント
- イ.内部監査
- ウ.不適合の是正処置
- エ.リスクの決定
解説
ISMSのPDCAモデルでは各フェーズの活動が定義される。計画(Plan)はリスクアセスメント・情報セキュリティ目的の設定・リスク対応計画・情報セキュリティ方針の策定。運用(Do)はリスク対応の実施。パフォーマンス評価(Check)は監視・測定・分析・評価、内部監査、マネジメントレビュー。改善(Act)は不適合の是正処置と継続的改善。したがってパフォーマンス評価フェーズで実施するのは内部監査である。リスクアセスメントとリスクの決定は計画、是正処置は改善に属する。
選択肢ごとの解説
- ア.誤り。情報セキュリティリスクアセスメント(リスクの特定・分析・評価)はISMSの計画(Plan)フェーズで実施する活動。情報セキュリティリスクを洗い出し評価して対応策を決める作業であり、パフォーマンス評価ではない。
- イ.正しい。内部監査はISMSのパフォーマンス評価(Check)フェーズで実施する活動。ISMSが計画どおりに実施・維持されているか、要求事項に適合しているかを組織内部の監査員が評価・確認する。
- ウ.誤り。不適合の是正処置はISMSの改善(Act)フェーズで実施する活動。パフォーマンス評価で発見された不適合・問題に対して根本原因を分析し、再発防止策を講じて継続的改善を図る段階。
- エ.誤り。リスクの決定(リスク対応方針の選択)はISMSの計画(Plan)フェーズで実施する活動。リスクアセスメント結果を受けてリスクへの対処方法(回避・低減・転嫁・受容)を決定する計画段階の作業。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問75