【2021年3月21日、問題を追加】
▼PDCAについて、情報1は本文ではなく参考文献リストの中に見える。Iパス、FEではマネジメントシステムISMSの基礎なので、キーワードとして取り上げていないようだ。しかし過去問には出ているので今回、取り上げました。
▼PDCAは別にISMSの専売特許じゃなくて、ビジネス分野では一般的な概念。しかし「知っていることとできることは違う」ことの問題を含む好例なのでちょっと触れておこう。どこが問題かというと、2つある。ひとつはチェックするときの評価項目と方法を定めてない問題。底のないバケツと同じやね。もうひとつは、PDCAサイクル、というくらいなので「繰り返し」が大事。だけど、数週間経たないうちに忘れてしまう問題。
▼2つの問題の解決法。ひとつめの問題の解決法は、評価項目を一つに絞る・評価方法はマルかバツかのデジタル評価もしくは10点満点等の数値評価にする。二つ目の問題の解決方法は、評価結果をカレンダーに書き込むなど可視化すること。
▼Iパスの過去問をやってみましょう。
問89 PDCAモデルに基づいてISMSを運用している組織の活動において、PDCAモデルのA(Act)に相当するプロセスで実施するものとして、適切なものはどれか。
ア 運用状況の監視や運用結果の測定及び評価で明らかになった不備などについて、見直しと改善策を決定する。
イ 運用状況の監視や運用結果の測定及び評価を行う。
ウ セキュリティポリシの策定や組織内の体制の確立、セキュリティポリシで定めた目標を達成するための手順を策定する。
エ セキュリティポリシの周知徹底やセキュリティ装置の導入などを行い、具体的に運用する。
(Iパス・令和2年度10月、解答ア)
問68 1年前に作成した情報セキュリティポリシについて、適切に運用されていることを確認するための監査を行った。この活動はPDCAサイクルのどれに該当するか。
ア P
イ D
ウ C
エ A
(Iパス・令和元年度秋期、解答ウ)
問63 PDCAモデルに基づいてISMSを運用している組織において、A(Act)で実施することの例として、適切なものはどれか。
ア 業務内容の監査結果に基づいた是正処置として、サーバの監視方法を変更する。
イ サーバ管理者の業務内容を第三者が客観的に評価する。
ウ サーバ室内の情報資産を洗い出す。
エ サーバの動作を定められた運用手順に従って監視する。
(Iパス・平成31年度春期、解答ア)
問61 PDCAモデルに基づいてISMSを運用している組織において、運用しているサーバのソフトウェアに対する最新の修正プログラムの有無を、定められた運用手順に従って毎日調べる業務は、PDCAのどのフェースか。
ア P(Plan)
イ D(Do)
ウ C(Check)
エ A(Act)
(Iパス・平成30年度秋期、解答イ)