ITパスポート試験 令和6年度分 解説
問86 PDCA モデルに基づいて ISMS を運用している組織において, C (Check) で実施することの例として, 適切なものはどれか。
ア 業務内容の監査結果に基づいた是正処置として, サーバの監視方法を変更する。
イ 具体的な対策と目標を決めるために, サーバ室内の情報資産を洗い出す。
ウ サーバ管理者の業務内容を第三者が客観的に評価する。
エ 定められた運用手順に従ってサーバの動作を監視する。
解説
PDCAモデルは、Plan(計画)、Do(実行)、Check(評価)、Act(改善)の4つのステップから成り、継続的な改善を目指す手法です。ISMS(情報セキュリティマネジメントシステム)を運用する際にも、このPDCAサイクルに従ってセキュリティ対策の計画、実施、評価、改善を行います。
各ステップにおける活動の概要:
- P(Plan:計画):リスクアセスメントを行い、具体的な対策と目標を決定する。
- D(Do:実行):計画に基づき、対策を実行する。
- C(Check:評価):実施した対策の効果や運用の状況を評価、監査し、問題がないかを確認する。
- A(Act:改善):評価結果に基づいて是正措置や改善を行い、PDCAサイクルを継続する。
問題文の「C(Check)」に該当するのは、実施した対策や運用の状況を評価する活動です。選択肢を確認すると、「ウ サーバ管理者の業務内容を第三者が客観的に評価する」が評価(チェック)に当たります。
その他の選択肢:
- ア:是正措置に基づいた改善であり、Act(改善)に該当します。
- イ:具体的な対策と目標を決めるための準備で、Plan(計画)に該当します。
- エ:運用手順に従った監視で、Do(実行)に該当します。
したがって、正解は「ウ サーバ管理者の業務内容を第三者が客観的に評価する」です。