ITパスポート 2010年 秋期 問58
問題文
問58 情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、処置フェーズで実施するものはどれか。
選択肢
ア:ISMSの維持及び改善(正解)
イ:ISMSの確立
ウ:ISMSの監視及びレビュー
エ:ISMSの導入及び運用
🔒 解説は解答すると表示されます
問58 情報セキュリティマネジメントシステム(ISMS)のPDCA(計画・実行・点検・処置)において、処置フェーズで実施するものはどれか。【ITパスポート 解説】
補足(略語の説明)
- ISMS(Information Security Management System:情報セキュリティマネジメントシステム)。組織が情報を守るために作る仕組みやルールのことです。
- PDCA(Plan-Do-Check-Act:計画・実行・点検・処置)。業務や仕組みを継続的に良くしていくための4段階のサイクルです。
正解の理由
「処置フェーズ」はPDCAの「Act(アクト)=処置・改善」の段階です。ここでは、点検(Check)で見つかった問題や改善点に対して、恒久的な対策を実施してシステムを良くしていきます。したがって「ISMSの維持及び改善」が処置フェーズに該当します。
具体的には、監査で見つかった弱点の是正、リスク対応方針の見直し、手順書の更新、教育の実施などを行い、ISMSを維持しつつ改善します。
解法ステップ
- PDCAの各段階の意味を確認する。
- Plan(計画):方針や目標を決める(確立)。
- Do(実行):決めたことを導入して運用する(導入及び運用)。
- Check(点検):運用状況を監視・レビューして問題を発見する(監視及びレビュー)。
- Act(処置):問題点に対処し、改善を行う(維持及び改善)。
- 選択肢をPDCAのどの段階に当てはめるかで照らし合わせる。
- 「維持及び改善」がActに一致するので選ぶ。
選択肢別の誤答解説
- ア: ISMSの維持及び改善 — 正解。処置(Act)段階は改善や恒久対策の実施を行います。
- イ: ISMSの確立 — 誤り。確立は計画(Plan)段階の活動です。方針や目標、ルールを定めるフェーズです。
- ウ: ISMSの監視及びレビュー — 誤り。これは点検(Check)段階です。運用結果を確認して問題を洗い出します。
- エ: ISMSの導入及び運用 — 誤り。導入・運用は実行(Do)段階の活動です。計画した対策を実際に動かします。
よくある誤解
- 「処置=単に問題を直すだけ」と考える誤解
- 処置フェーズは短期の修正だけでなく、再発防止や仕組み自体の改善(継続的改善)も含みます。
- 「監視(Check)と処置(Act)は同じ」と混同する
- 監視は問題を見つける段階。処置は見つけた問題に対して対策を実行し、仕組みを改める段階です。
- 「維持」は運用(Do)と同じ意味だと思い込む
- 維持は安定的に機能させ続けるための管理と、改善の両方を含みます。運用は計画を実行することに重点があります。
補足コラム
実務での「処置」具体例
- 監査で指摘された手順の不備を文書化して修正する。
- リスク評価の結果を受けてリスク対応計画を更新する。
- 再発防止のために社員教育やアクセス制御を強化する。
- 継続的改善のためのマネジメントレビュー(経営陣による評価)で方針変更や予算配分を決める。
国際標準のISO/IEC 27001(情報セキュリティ管理の国際規格)でもPDCAによる継続的改善が重要視されています。試験では「言葉の対応(計画=確立、実行=導入・運用、点検=監視・レビュー、処置=維持・改善)」をまず覚えると良いです。
FAQ
Q1: 点検(Check)で見つかった問題はすぐに処置(Act)するのですか?
A1: 重要な問題は早急に対処しますが、恒久対策は原因分析をして計画的に行います。緊急対応と恒久的改善を使い分けます。
A1: 重要な問題は早急に対処しますが、恒久対策は原因分析をして計画的に行います。緊急対応と恒久的改善を使い分けます。
Q2: 「維持」と「改善」は同時に行うのですか?
A2: はい。維持(安定運用)をしながら、監視結果に応じて順次改善を行うのがPDCAの考え方です。
A2: はい。維持(安定運用)をしながら、監視結果に応じて順次改善を行うのがPDCAの考え方です。
Q3: ISMSの処置に必要な関係者は誰ですか?
A3: 実務担当者、情報セキュリティ責任者、経営層(マネジメントレビューでの決定)など、複数の関係者で対応します。
A3: 実務担当者、情報セキュリティ責任者、経営層(マネジメントレビューでの決定)など、複数の関係者で対応します。
関連キーワード: ISMS, PDCA, 継続的改善, ISO27001, リスクアセスメント, セキュリティポリシー, マネジメントレビュー

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

