ITパスポート 2014年 秋期 問78
問題文
ISMSを構築する組織において、企業の経営方針に基づいて情報セキュリティ基本方針を策定した。これは、ISMSのPDCAサイクルのどのプロセスで実施されるか。
選択肢
ア:P(正解)
イ:D
ウ:C
エ:A
🔒 解説は解答すると表示されます
ISMSのPDCAサイクルと情報セキュリティ基本方針の策定【ITパスポート 解説】
正解の理由
情報セキュリティ基本方針を「企業の経営方針に基づいて策定する」行為は、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)のPDCAサイクルにおける計画フェーズです。PDCAは英語の Plan-Do-Check-Act(計画・実行・評価・改善)を表します。方針の策定は将来の活動の枠組みを決める「計画」なので、正解は ア(P)になります。
ポイントを一言で言うと:
- 方針や目標を決める → Plan(計画)
- 実際に運用する → Do(実行)
- 運用の結果を評価する → Check(評価)
- 改善策を実施する → Act(改善)
今回の問題で行っている「策定」は明らかに計画段階です。よって ア が正しい理由です。
解法ステップ
- 問題文で行っている動作を確認する:「情報セキュリティ基本方針を策定した」。
- PDCAの日本語意味を思い出す:
- P = Plan(計画):方針・目標・ルールを作る
- D = Do(実行):作った方針に従って運用する
- C = Check(評価):監査や点検で結果を評価する
- A = Act(改善):評価に基づき改善する
- 「策定」は「作る・決める」行為なので、Planに該当することを判断する。
- 選択肢の中で Plan(P)に該当する選択肢を選ぶ → ア。
この手順で、PDCAに関する問題は確実に解けます。
選択肢別の誤答解説
- ア(P)
- 正解。方針や目標を定める「計画」フェーズに該当します。
- イ(D)
- 誤り。DはDo(実行)で、策定した方針に基づいて具体的に運用したり、管理策を実施したりする段階です。方針を「策定する」行為自体は含みません。
- ウ(C)
- 誤り。CはCheck(評価)で、ログ確認、監査、効果測定などで実施状況や効果を評価する段階です。方針を作る段階ではありません。
- エ(A)
- 誤り。AはAct(改善)で、チェックで見つかった問題に対して是正措置や継続的改善を実行する段階です。方針の「初回策定」は改善ではなく計画です。
よくある誤解
- 「方針の見直しはどちら?」
- 方針を最初に作る行為はPlan、作った方針を評価して修正する行為はAct(またはPlanに戻して再計画)です。見直し・修正は Act(改善)や再度の Plan に当たるため、単純に「方針に関する行為=Plan」とは限りません。
- 「PDCAは順番通りしか使えない?」
- 基本は Plan → Do → Check → Act の流れですが、実務では小刻みなサイクルや並行的な活動もあります。重要なのは「計画→実行→評価→改善」の考え方を回すことです。
補足コラム
ISMS と PDCA の関係性:
- ISMS(Information Security Management System:情報セキュリティマネジメントシステム)は、組織が情報資産を守るための仕組み全体を指します。PDCAはその運用方法です。
- 情報セキュリティ基本方針は経営の意志表明です。経営層が責任を持って方針を示すことで、組織全体の行動基準や優先順位が決まります。現場の具体的ルールや手順は、この方針に基づいて作られます。
- 覚え方のコツ:PDCAは「まず設計図(Plan)を作る→作る(Do)→出来を検査(Check)→手直し(Act)」。日常の仕事でも応用できます。
FAQ
Q1. 情報セキュリティ基本方針と社内規程は同じですか?
A1. 同じではありません。方針は経営レベルの「大きな方針・目的」です。社内規程や手順書は方針に沿った「具体的なルールややり方」です。
A1. 同じではありません。方針は経営レベルの「大きな方針・目的」です。社内規程や手順書は方針に沿った「具体的なルールややり方」です。
Q2. PDCAの「C」と「A」の違いを簡単に教えてください。
A2. C(Check)は「評価・監査」です。実際の運用が計画通りか、効果があるかを確認します。A(Act)は「是正・改善」です。評価で見つかった問題に対して対策を講じ、次の計画に反映します。
A2. C(Check)は「評価・監査」です。実際の運用が計画通りか、効果があるかを確認します。A(Act)は「是正・改善」です。評価で見つかった問題に対して対策を講じ、次の計画に反映します。
Q3. 経営方針が変わったら方針の策定はどこに当たりますか?
A3. 経営方針の変更に伴う基本方針の新規策定や大幅な修正は、Plan(計画)に戻ると考えます。変更後は新たな方針に基づき運用(Do)→評価(Check)→改善(Act)を続けます。
A3. 経営方針の変更に伴う基本方針の新規策定や大幅な修正は、Plan(計画)に戻ると考えます。変更後は新たな方針に基づき運用(Do)→評価(Check)→改善(Act)を続けます。
関連キーワード: ISMS、PDCAサイクル、情報セキュリティ基本方針、セキュリティポリシー、経営方針、マネジメントシステム

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

