平成30年春期試験問題 問90

情報セキュリティマネジメントがPDCAサイクルに基づくとき,Cに相当するものはどれか。

  • 情報セキュリティの目的,プロセス,手順の確立を行う。
  • 評価に基づいた是正及び予防措置によって改善を行う。
  • プロセス及び手順の導入,運用を行う。
  • プロセスの効果を測定し,結果の評価を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
PDCAサイクルは、Plan(計画)・Do(実行)・Check(点検・監査)・Act(見直し・改善)の各フェーズの略で、この一連の流れを繰り返すことでシステムの維持・改善に努める活動をいいます。

情報セキュリティ分野のPDCAについてIPAのWebサイトには以下の説明があります。

「情報セキュリティ対策は一度行なったら終わりではありません。情報セキュリティ分野は、常に積極的に対策を行なっていないと、新たな脅威に対応できないという側面をもっているため、環境の変化に合わせて絶えず、見直しと改善が求められます」

このために、以下のようなPDCAサイクルを繰り返して組織の情報セキュリティマネジメントのレベルを継続的に改善していくことが求められています。
Plan
リスクアセスメントの実施、情報セキュリティポリシーの策定
Do
計画段階で選択した対策の導入・運用
Check
対策実施状況の監視、実施効果の評価
Act
管理策の維持、対策の見直し及び改善
選択肢の4つをPDCAに当てはめると、
  • Pに相当します。
  • Aに相当します。
  • Dに相当します。
  • 正しい。Cに相当します。

Pagetop