基本情報技術者試験「ISMS」の問題
A社はISMSを運用して2年が経過し、内部監査と前回のマネジメントレビューで『インシデント報告の手順が形骸化し、軽微な事象が記録されていない』という不適合が指摘された。ISMSのPDCAサイクルにおいて、この指摘を受けて『Act(改善)』の段階で行うべきこととして、最も適切なものはどれか。
ア報告件数の目標値と達成度を測る指標をあらかじめ取り決める。
イ既定の報告手順に沿って発生事象をその都度記録し対応する。
ウ形骸化を招いた要因をたどり、手順や教育を作り直して再発の芽を断つ。
エ手順が守られているかを抜取りで点検し不適合の有無を確かめる。
正解
ウ.形骸化を招いた要因をたどり、手順や教育を作り直して再発の芽を断つ。
PDCAのAct(改善・処置)は、Check段階で検出した不適合の原因を分析し、再発しないよう仕組み自体を是正・改善する活動である。形骸化の原因を究明して報告手順や教育を見直す措置はまさにActに当たり、次のPlanへ改善を反映してサイクルを回す。
?選択肢ごとの解説
ア ×目標値や指標の設定は計画段階(Plan)で行う活動であり、不適合への是正処置を行うActとは段階が異なる。
イ ×手順に従って事象を記録・対応するのは運用段階(Do)の活動であり、改善措置を講じるActではない。
ウ ○PDCAのAct(改善・処置)は、Check段階で検出した不適合の原因を分析し、再発しないよう仕組み自体を是正・改善する活動である。形骸化の原因を究明して報告手順や教育を見直す措置はまさにActに当たり、次のPlanへ改善を反映してサイクルを回す。
エ ×手順遵守を点検し不適合を確認するのは点検段階(Check)であり、検出後に原因を正すActの前段階にあたる。
✎くわしく
ISMSはPlan(方針・リスク対応計画)・Do(導入・運用)・Check(監視・内部監査・レビュー)・Act(是正・継続的改善)の循環で維持される。不適合の『発見』はCheck、『原因除去と仕組みの更新』はActと役割が明確に分かれる点が理解の核心である。
✓本番での押さえどころ
試験のコツ
PDCAの段階を問う問題は『計画=Plan/運用=Do/点検・監査=Check/是正・改善=Act』の対応で切り分ける。
覚え方
Actは『直して次に活かす』。監査で見つけた穴(Check)を塞いで作り直すのがAct。
よくある誤り
点検(Check)で不適合を見つける行為と、改善(Act)で原因を是正する行為を混同する。発見と是正は別段階である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0133