ITパスポート 2019年 秋期 問68
問題文
1年前に作成した情報セキュリティポリシについて、適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのどれに該当するか。
選択肢
ア:P
イ:D
ウ:C(正解)
エ:A
🔒 解説は解答すると表示されます
情報セキュリティポリシーの監査はPDCAのどれに該当するか【ITパスポート 解説】
正解の理由
PDCAは「Plan-Do-Check-Act(計画→実行→点検・評価→改善)」のサイクルです。
情報セキュリティポリシー(組織の情報を守るための方針)を「適切に運用されているか確認する活動」は、実際に行ったことが計画通りに動いているかを点検・評価する行為に当たります。したがってPDCAの「Check(点検・評価)」に該当し、選択肢の中では ウ が正しいです。
情報セキュリティポリシー(組織の情報を守るための方針)を「適切に運用されているか確認する活動」は、実際に行ったことが計画通りに動いているかを点検・評価する行為に当たります。したがってPDCAの「Check(点検・評価)」に該当し、選択肢の中では ウ が正しいです。
解法ステップ
- PDCAの意味を確認する
- PDCA(Plan-Do-Check-Act:計画→実行→点検・評価→改善)
- 問題文から行為の内容を把握する
- 「適切に運用されていることを確認するための監査」=運用の点検・評価
- 点検・評価はPDCAのどれかを当てはめる
- 点検・評価=Check → ウ
選択肢別の誤答解説
-
ア: P(Plan)
Planは方針や手順を作る「計画」フェーズです。問題文は既に作成されたポリシーの運用確認なので、計画作成ではありません。 -
イ: D(Do)
Doは計画に基づいて実行・運用するフェーズです。監査は「運用しているか確認する」行為であり、実際に業務を行うこととは異なります。 -
ウ: C(Check)
監査は「運用が適切か」を評価・点検する活動なのでCheckに該当します。正解です。 -
エ: A(Act)
Actは点検の結果を受けて改善策を決めて実行するフェーズです。監査そのものは改善実行ではなく、改善のための情報を出す役割です。
よくある誤解
-
「監査=改善(Act)」と考える誤解
- 監査で問題点を見つけた後に改善を行いますが、監査自体は評価(Check)です。改善は別のフェーズ(Act)で行います。
-
「点検は単なる記録チェックだからDoだ」と考える誤解
- 実務を実行する(Do)と、実行結果を評価する(Check)は役割が違います。監査は評価・判断が主目的です。
-
「短期間の確認はPlanやDoに含まれる」とする誤解
- 実施期間の長さでは判断しません。目的が評価・確認ならCheckです。
補足コラム
-
内部監査と外部監査
- 内部監査は組織内の人が行う自己点検、外部監査は独立した第三者が行う評価です。どちらもPDCAのCheckに該当しますが、外部監査は客観性が高くコンプライアンス(法令順守)確認に有効です。
-
監査の具体例(情報セキュリティポリシーの場合)
- 文書通りの手順が守られているか(ログ・記録の確認)
- 担当者が必要な教育を受けているか(教育記録の確認)
- 実際のアクセス権や機器設定がポリシーと一致しているか(設定の点検)
-
監査結果は次のPDCAへつながる
- Check(監査)で問題を見つけ、Actで改善策を決めて実行(Do)、そして新たなPlanへ反映していきます。PDCAは連続して回すことが大切です。
FAQ
Q1: 監査で指摘が出たらすぐに直すべきですか?
A1: 直すべき内容の優先度や影響度を評価してからAct(改善)フェーズで対応します。全てを即時に直す必要はなく、リスクに応じた対応が重要です。
A1: 直すべき内容の優先度や影響度を評価してからAct(改善)フェーズで対応します。全てを即時に直す必要はなく、リスクに応じた対応が重要です。
Q2: PDCAは何回も回す必要がありますか?
A2: はい。PDCAは継続的改善のためのサイクルなので、問題を見つけては改善し、再評価することを繰り返します。
A2: はい。PDCAは継続的改善のためのサイクルなので、問題を見つけては改善し、再評価することを繰り返します。
Q3: 監査は誰が行えば良いですか?
A3: 内部監査は独立した立場の社内担当が望ましいです。客観性を高めたい場合は外部の専門家を利用します。
A3: 内部監査は独立した立場の社内担当が望ましいです。客観性を高めたい場合は外部の専門家を利用します。
Q4: 監査とレビューは同じですか?
A4: 似ていますが微妙に違います。レビューは主に文書や手順の見直し、監査は実務の適合性や運用状況を評価することに重きがあります。どちらもCheckの活動に含まれます。
A4: 似ていますが微妙に違います。レビューは主に文書や手順の見直し、監査は実務の適合性や運用状況を評価することに重きがあります。どちらもCheckの活動に含まれます。
関連キーワード: PDCA、監査、情報セキュリティポリシー、内部監査、運用確認、継続的改善

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

