問題
テクノロジ系
問86 PDCAモデルに基づいてISMSを運用している組織において,C(Check)で実施することの例として,適切なものはどれか。
選択肢
- ア業務内容の監査結果に基づいた是正処置として,サーバの監視方法を変更する。
- イ具体的な対策と目標を決めるために,サーバ室内の情報資産を洗い出す。
- ウサーバ管理者の業務内容を第三者が客観的に評価する。
- エ定められた運用手順に従ってサーバの動作を監視する。
解説
正解:ウ
概要
この問題は、PDCAモデルでISMSを運用する際に、C(Check)で実施する活動の具体例を問う問題です。計画や実施ではなく、監査などで客観的に評価する段階を選べるかがポイントです。
正解の理由
C(Check)は、実施した対策や運用がルールどおりで有効かを点検し、監査やレビューで評価する段階です。第三者が客観的に業務内容を評価する行為は監査に当たり、Checkに該当するため正解はウです。
各選択肢の解説
ア(×): 監査結果に基づいて監視方法を変更するのは改善に向けた是正処置であり、A(Act)の内容です。Checkそのものではないため誤りです。
イ(×): 情報資産の洗い出しは、リスクアセスメントや目標設定の前提となる計画段階の作業です。P(Plan)に当たるため誤りです。
ウ(〇): サーバ管理者の業務内容を第三者が客観的に評価するのは監査・点検であり、C(Check)の代表例です。運用が適切かを確認する段階なので正しいです。
エ(×): 定められた運用手順に従ってサーバの動作を監視するのは、日常の運用実施に当たります。D(Do)の内容なので誤りです。
ポイント
ISMSのPDCAでは、Pは計画、Dは実施、Cは監査やレビューで評価、Aは是正・改善です。選択肢が「評価」なのか「実施や変更」なのかで見分けます。