平成22年度 秋期 ITパスポート試験 問58 解説 ISMSのPDCAサイクル

ISMSのPDCAサイクルにおいて、アルファベットの各フェーズが何を指しているかを暗記することが正解への近道です。特にAct（処置）は、継続的改善を意味すると覚えましょう。

PDCAサイクルの役割分担

情報セキュリティマネジメントシステム（ISMS）におけるPDCAサイクルは、以下の4つの段階で構成されています。

Plan（計画）：ISMSの確立 目的や方針を定め、リスクアセスメントを行って計画を立てる段階です。

Do（実行）：ISMSの導入及び運用 計画に基づいて、セキュリティ対策の実施やルールの適用を行う段階です。

Check（点検）：ISMSの監視及びレビュー 運用状況が適切かを測定し、内部監査などを通じて計画通りに進んでいるかを確認する段階です。

Act（処置）：ISMSの維持及び改善 点検で見つかった不適合や課題に対して是正措置を講じ、システム全体をより良くしていく段階です。

選択肢の判断基準

問題文にある「処置（Act）」という言葉に注目してください。日本語の「処置」には、悪い状態を直したり、改善したりするというニュアンスが含まれています。

選択肢をPDCAに当てはめると以下のようになります。 ア：維持及び改善 → Act（処置） イ：確立 → Plan（計画） ウ：監視及びレビュー → Check（点検） エ：導入及び運用 → Do（実行）

したがって、処置フェーズに該当するのは「維持及び改善」となります。

なぜISMSにPDCAが必要なのか

情報セキュリティは、一度ルールを決めて終わりではありません。サイバー攻撃の手法は日々進化し、社内のシステム構成や業務内容も変化し続けます。そのため、一度決めた計画（Plan）を回すだけでなく、実際に運用（Do）した結果を測定（Check）し、問題点があればすぐに修正して、セキュリティレベルを向上させ続ける（Act）プロセスが不可欠です。

このサイクルを回すことで、組織のセキュリティは「静的な壁」ではなく「動的な防衛体制」へと進化します。ITパスポート試験では、単に用語を覚えるだけでなく、なぜ企業がこのサイクルを回すのかという「継続的改善」の視点を持つことが実務的な理解にもつながります。

参考リンク

• ITパスポート試験ドットコム：ISMSのPDCAサイクル
• Qiita：情報セキュリティのPDCAを回すための具体的なチェックリスト
• JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項