ITパスポート 2020年 秋期 問89
問題文
PDCAモデルに基づいてISMSを運用している組織の活動において、PDCAモデルのA (Act)に相当するプロセスで実施するものとして、適切なものはどれか。
選択肢
ア:運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて、見直しと改善策を決定する。(正解)
イ:運用状況の監視や運用結果の測定及び評価を行う。
ウ:セキュリティポリシの策定や組織内の体制の確立、セキュリティポリシで定めた目標を達成するための手順を策定する。
エ:セキュリティポリシの周知徹底やセキュリティ装置の導入などを行い、具体的に運用する。
🔒 解説は解答すると表示されます
PDCAモデルのA(Act)に相当するプロセスはどれか【ITパスポート 解説】
正解の理由
PDCAとは、Plan(計画)、Do(実行)、Check(評価・点検)、Act(改善)の4つを順に回す改善サイクルです。ISMS(情報セキュリティマネジメントシステム:Information Security Management System)を運用する際もこのサイクルに沿って運用・改善します。
設問の選択肢のうち、運用状況の監視や運用結果の測定・評価で明らかになった不備について「見直しと改善策を決定する」活動が当てはまります。これは PDCA の最後の段階である Act(改善)です。したがって、選択肢アが正しい理由は、評価結果に基づいて方針や仕組みを改める意思決定を行う点が Act の本質に一致するからです。
解法ステップ
- PDCA の各段階を短く確認する
- Plan:何をどうするか計画する段階。
- Do:計画を実行する段階。
- Check:実行した結果を測定・評価する段階。
- Act:評価結果に基づいて改善を決め、次の Plan に反映する段階。
- 各選択肢を「計画」「実行」「評価」「改善」のいずれかに当てはめる。
- 「見直しと改善策を決定する」は明らかに改善活動なので Act に該当する選択肢を選ぶ。
選択肢別の誤答解説
-
ア: 運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて、見直しと改善策を決定する。
→ これが Act(改善)です。評価結果を受けて方針や対策を見直す意思決定を行う点で最も適切です。 -
イ: 運用状況の監視や運用結果の測定及び評価を行う。
→ これは Check(評価・点検)に該当します。データの収集や評価そのものは Act ではなく Check の仕事です。 -
ウ: セキュリティポリシの策定や組織内の体制の確立、セキュリティポリシで定めた目標を達成するための手順を策定する。
→ これは Plan(計画)です。方針や手順を作る段階は PDCA の最初になります。 -
エ: セキュリティポリシの周知徹底やセキュリティ装置の導入などを行い、具体的に運用する。
→ これは Do(実行)です。計画に従って実際の運用や対策を実施する段階です。
よくある誤解
- 「評価(Check)と改善(Act)は同じ」と考えてしまうこと
- Check は「事実を測る・評価する」こと、Act は「評価結果に基づいて何を変えるか決める」ことです。順序と役割が異なります。
- Act を単に「修正作業」だけと捉えること
- Act は修正の実行方針を決める管理的な判断まで含みます。場合によっては方針変更や経営判断(例:予算の増加など)を含みます。
補足コラム
ISMS(情報セキュリティマネジメントシステム)では、PDCA サイクルを回し続けることが重要です。特に Act では、監査や評価結果から得た教訓を次の計画(Plan)に反映させます。ISO/IEC 27001(情報セキュリティ管理の国際規格)でもマネジメントレビューや是正処置(corrective action:原因を取り除くための処置)の実施が求められ、これらは Act に該当します。身近な例で言えば、顧客からのクレーム(評価の結果)を受けて、サービスの提供手順を見直すのが Act に当たります。
FAQ
Q1: Act の具体例を教えてください。
A1: 例として、評価で脆弱性対応が遅いことが分かった場合に、対応手順の改訂、担当者の増員、予算配分の見直しを決定することが Act です。
A1: 例として、評価で脆弱性対応が遅いことが分かった場合に、対応手順の改訂、担当者の増員、予算配分の見直しを決定することが Act です。
Q2: Act は誰が行うべきですか?
A2: 実行方針や方針変更などの意思決定は経営層や情報セキュリティの責任者が主導します。具体的な改善作業は担当部署が行います。
A2: 実行方針や方針変更などの意思決定は経営層や情報セキュリティの責任者が主導します。具体的な改善作業は担当部署が行います。
Q3: PDCA を何度も回す理由は?
A3: リスクや環境は変化します。継続的に評価して改善しないと、セキュリティ対策は劣化していくためです。
A3: リスクや環境は変化します。継続的に評価して改善しないと、セキュリティ対策は劣化していくためです。
関連キーワード: PDCA、ISMS、Check、Act、改善策、マネジメントレビュー、是正処置、ISO/IEC 27001

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

