PDCA モデルに基づいて ISMS を運用している組織において, C (Check)で実施することの例として、適切なものはどれか。
- ア. 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
- イ. 具体的な対策と目標を決めるために、サーバ室内の情報資産を洗い出す。
- ウ. サーバ管理者の業務内容を第三者が客観的に評価する。
- エ. 定められた運用手順に従ってサーバの動作を監視する。
【答え】ウ
【解説】
PDCAモデルは、Plan(計画)→ Do(実行)→ Check(評価)→ Act(改善)の4段階で業務や仕組みを継続的に改善する方法です。ISMS(情報セキュリティマネジメントシステム)でもこの考え方が使われています。
| 段階 | 内容 | ISMSにおける例 |
|---|---|---|
| P(Plan) | 計画を立てる | 情報資産の洗い出し、リスク分析、対策計画の立案 |
| D(Do) | 計画を実行する | 実際にセキュリティ対策を導入・運用する |
| C(Check) | 実施状況を評価・点検する | 監査・レビュー・ログの確認などによって状況をチェック |
| A(Act) | 改善を行う | 問題があれば是正・予防処置を行い、仕組みを改善する |
各選択肢の解説
ア. 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
→是正処置=改善策の実施
→A(Act)に該当
イ. 具体的な対策と目標を決めるために、サーバ室内の情報資産を洗い出す。
→情報資産の洗い出し=計画立案に必要な作業
→P(Plan)に該当
ウ. サーバ管理者の業務内容を第三者が客観的に評価する。
→監査やレビューによって状況を点検・検証する作業
→ ⭕ C(Check)に該当
エ. 定められた運用手順に従ってサーバの動作を監視する。
→計画に基づいて実際に業務を運用する作業
→D(Do)に該当
以上より、正解はウ.となります。
情報セキュリティ管理 
