問題
テクノロジ系
問58 ISMSの計画,運用,パフォーマンス評価及び改善において,パフォーマンス評価で実施するものはどれか。
選択肢
- ア運用の計画及び管理
- イ内部監査
- ウ不適合の是正処置
- エリスクの決定
解説
正解:イ
概要
ISMSの活動を「計画・運用・パフォーマンス評価・改善」に分けたとき,パフォーマンス評価で行う代表的な活動を問う問題です。
正解の理由
パフォーマンス評価は,ISMSが要求事項どおりに運用され有効に機能しているかを確認・評価する段階で,内部監査などを実施します。運用の計画管理やリスク決定は計画・運用側,不適合の是正は改善側に当たります。
各選択肢の解説
ア(×): 運用の計画及び管理はISMSを実施していくための運用側の活動で,評価(監査など)そのものではないため誤りです。
イ(〇): 内部監査はISMSの運用状況を点検し,有効性や適合性を評価する活動で,パフォーマンス評価で実施するため正しいです。
ウ(×): 不適合の是正処置は見つかった問題を直し再発防止する改善の活動で,パフォーマンス評価そのものではないため誤りです。
エ(×): リスクの決定はリスクアセスメントなど計画段階の活動で,パフォーマンス評価で行う内容ではないため誤りです。
ポイント
ISMSのパフォーマンス評価は「監視・測定・分析・評価」と「内部監査」「マネジメントレビュー」が中心です。