午前問63
PDCAモデルに基づいてISMSを運用している組織において、A(Act)で実施することの例として、適切なものはどれか。
| 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。 | |
| サーバ管理者の業務内容を第三者が客観的に評価する。 | |
| サーバ室内の情報資産を洗い出す。 | |
| サーバの動作を定められた運用手順に従って監視する。 |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ア
解説
PDCAはPlan→Do→Check→Actの循環で業務を継続的に改善する枠組みです。ISMSでは、Planでリスクアセスメントや情報セキュリティポリシーを定め、Doで選定した対策を導入・運用し、CheckでISMSの監視・レビューを行い、最後にActで維持・改善を進めます。特にA(Act)は、C(Check)の結果を踏まえて不適合の是正や運用方法の改善を実施する段階です。したがって、監査結果に基づく監視方法の見直しはActに該当します。
| ア. | 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。 |
| 監査結果に基づく是正として監視方法を変更する行為は、C(Check)の評価結果を受けて改善を行うA(Act)に該当します。適切です。 | |
| イ. | サーバ管理者の業務内容を第三者が客観的に評価する。 |
| サーバ管理者の業務を第三者が客観的に評価するのは、ISMSの監視・レビューに当たるためC(Check)です。不適切です。 | |
| ウ. | サーバ室内の情報資産を洗い出す。 |
| サーバ室内の情報資産の洗い出しは、リスクアセスメントに直結する計画段階の活動でありP(Plan)です。不適切です。 | |
| エ. | サーバの動作を定められた運用手順に従って監視する。 |
| 定められた手順に従ってサーバを監視するのは、選定した対策の導入・運用に当たるD(Do)です。不適切です。 |