情報セキュリティ

基本情報技術者試験ISMS」の問題

情報セキュリティ情報セキュリティ難易度:normal
A社はISMSを運用して2年が経過し、内部監査と前回のマネジメントレビューで『インシデント報告の手順が形骸化し、軽微な事象が記録されていない』という不適合が指摘された。ISMSのPDCAサイクルにおいて、この指摘を受けて『Act(改善)』の段階で行うべきこととして、最も適切なものはどれか。
報告件数の目標値と達成度を測る指標をあらかじめ取り決める。
既定の報告手順に沿って発生事象をその都度記録し対応する。
形骸化を招いた要因をたどり、手順や教育を作り直して再発の芽を断つ。
手順が守られているかを抜取りで点検し不適合の有無を確かめる。
正解
形骸化を招いた要因をたどり、手順や教育を作り直して再発の芽を断つ。

PDCAのAct(改善・処置)は、Check段階で検出した不適合の原因を分析し、再発しないよう仕組み自体を是正・改善する活動である。形骸化の原因を究明して報告手順や教育を見直す措置はまさにActに当たり、次のPlanへ改善を反映してサイクルを回す。

?選択肢ごとの解説

ア ×目標値や指標の設定は計画段階(Plan)で行う活動であり、不適合への是正処置を行うActとは段階が異なる。
イ ×手順に従って事象を記録・対応するのは運用段階(Do)の活動であり、改善措置を講じるActではない。
ウ ○PDCAのAct(改善・処置)は、Check段階で検出した不適合の原因を分析し、再発しないよう仕組み自体を是正・改善する活動である。形骸化の原因を究明して報告手順や教育を見直す措置はまさにActに当たり、次のPlanへ改善を反映してサイクルを回す。
エ ×手順遵守を点検し不適合を確認するのは点検段階(Check)であり、検出後に原因を正すActの前段階にあたる。

くわしく

ISMSはPlan(方針・リスク対応計画)・Do(導入・運用)・Check(監視・内部監査・レビュー)・Act(是正・継続的改善)の循環で維持される。不適合の『発見』はCheck、『原因除去と仕組みの更新』はActと役割が明確に分かれる点が理解の核心である。

本番での押さえどころ

試験のコツ

PDCAの段階を問う問題は『計画=Plan/運用=Do/点検・監査=Check/是正・改善=Act』の対応で切り分ける。

覚え方

Actは『直して次に活かす』。監査で見つけた穴(Check)を塞いで作り直すのがAct。

よくある誤り

点検(Check)で不適合を見つける行為と、改善(Act)で原因を是正する行為を混同する。発見と是正は別段階である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0133

【基本情報技術者試験】ISMSの問題 — 解答・解説|ukamiru 過去問