ITパスポート 令和6年度 公開問題(過去問) 問86 について解説します。
問題
問86 PDCAモデルに基づいてISMSを運用している組織において、C(Check)で実施することの例として、適切なものはどれか。
ア 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
イ 具体的な対策と目標を決めるために、サーバ室内の情報資産を洗い出す。
ウ サーバ管理者の業務内容を第三者が客観的に評価する。
エ 定められた運用手順に従ってサーバの動作を監視する。
解説・解答
PDCAとは?
PDCAは、仕事や管理のサイクルをうまく回していくための下記の4つのステップのことです。
| ステップ | 意味 | 簡単に言うと… |
|---|---|---|
| P:Plan | 計画 | どうやってやるかを考える |
| D:Do | 実行 | 実際にやってみる |
| C:Check | 確認・点検 | うまくいってるか確認する |
| A:Act | 改善 | 良くするために直す |
ISMSとは?
ISMS(情報セキュリティマネジメントシステム)は、会社などが情報を安全に守るための仕組みです。例えば、顧客データ、社内資料、パスワードなどの機密情報を守ります。このISMSをPDCAのサイクルで運用するのがポイントです。
それぞれの選択肢について確認します。
ア: 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
これは「Act(改善)」に該当します。チェック結果をもとに対策を変更・改善しているのでC(Check)ではなくA(Act)の内容です。
イ: 具体的な対策と目標を決めるために、サーバ室内の情報資産を洗い出す。
これは「Plan(計画)」に該当します。情報資産の洗い出しやリスク評価は最初の計画立案に属します。
ウ: サーバ管理者の業務内容を第三者が客観的に評価する。
これが「Check(確認・点検)」に該当しますので正解です。外部または内部監査などで業務内容や運用状況を客観的に評価することはC(Check)の典型的な活動です。
エ: 定められた運用手順に従ってサーバの動作を監視する。
これは「Do(実行)」に該当します。手順書に基づいて日常業務を行うのは、計画されたことを実行している段階です。
以上により、この問題の解答は「ウ」になります。
