問題本文
PDCAモデルに基づいてISMSを運用している組織において,運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を,定められた運用手順に従って毎日調べる業務は,PDCAのどのフェーズか。
選択肢
- ア.P(Plan)
- イ.D(Do)
- ウ.C(Check)
- エ.A(Act)
解説
PDCA(Plan-Do-Check-Act)サイクルに基づくISMS(情報セキュリティマネジメントシステム)の運用では、D(Do=実行)フェーズが「計画で定めた手順・管理策・ポリシーに従って具体的な業務を日常的に実施する」段階。「定められた運用手順に従って毎日ソフトウェアの修正プログラム有無を確認する」は計画済みの手順を毎日実行しているため明確にDフェーズに該当する。パッチ適用・アクセス権管理・ログ監視の日常的な実施がすべてD(実行)に分類される。
選択肢ごとの解説
- ア.誤り。P(Plan=計画)は情報セキュリティポリシーの策定・目標設定・リスク評価・管理策の選定など「どうすべきか」を定める段階。パッチ確認手順を「決める」のがPであり、手順に従って「毎日実施する」のはD(実行)に該当する。手順の策定と手順の実行を混同しないことが重要。
- イ.正解。D(Do=実行)は計画で定めたセキュリティポリシー・手順・管理策を実際の業務で日常的に実施するフェーズ。定められた運用手順に従ってパッチ有無を毎日確認する活動は計画の実行(D)そのものであり、手順通りの日常業務の継続的な実施がDフェーズの本質的な活動内容となる。
- ウ.誤り。C(Check=評価)は実施した結果を測定・監視・評価する段階。パッチ適用状況の監査・脆弱性対応率の定期評価・管理策の有効性確認がCに該当する。毎日のパッチ確認作業は「評価」ではなく「実施」であり、Cフェーズはその実施結果を振り返り評価する段階である。
- エ.誤り。A(Act=改善)は評価(C)で発見した問題・不備に対して改善措置を講じる段階。評価結果を次のサイクルのPに反映させて継続的改善を実現する活動がAに該当する。定められた手順を毎日実行する日常業務はAではなくDに分類される活動である。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問61