ISMSの“計画”，“運用”，“パフォーマンス評価”及び“改善”において，“パフォーマンス評価”で実施するものはどれか。

平成29年度春期 ITパスポート試験公開問題問75 解説 ISMSのパフォーマンス評価

ISMS（情報セキュリティマネジメントシステム）のPDCAサイクルにおいて、どの段階で何を行うかを整理することが正解への近道です。この問題は、各プロセスの名称と対応する活動内容を正確に結びつけられるかを問うています。

選択肢のうち「パフォーマンス評価」は、ISMSが計画通りに運用され、目標を達成できているかを客観的に確認するフェーズです。ここで最も重要な活動の一つが、第三者や社内の専門家による「内部監査」です。

ISMSのPDCAサイクルと各ステップの主な活動内容は以下の通りです。

計画（Plan）：情報セキュリティ目的の策定、情報セキュリティリスクアセスメントの実施、リスク対応計画の策定などを行います。問題にある「リスクの決定」や「リスクアセスメント」は、まず何を守るべきかを決める最初の段階であるため、ここに分類されます。

運用（Do）：計画に基づいて実際にルールを適用し、運用します。

パフォーマンス評価（Check）：計画通りに活動が実施されているか、ルールが守られているかを評価します。具体的には、システムの監視、測定、分析、そして「内部監査」や「マネジメントレビュー」といった活動が含まれます。

改善（Act）：評価結果から判明した不適合を正し、システムを継続的に向上させます。「不適合の是正処置」は、問題が見つかった後にそれを取り除く行為であるため、改善のフェーズに該当します。

ITパスポート試験において、ISMSのPDCAサイクルは単なる用語の暗記以上に重要です。実務の現場では、ルールを作って満足するのではなく、定期的に監査を行い、実際にルールが現場で機能しているかを確認することが、情報セキュリティ事故を防ぐための鍵となります。

この問題を通じて「計画（何をすべきか）」「運用（実行する）」「評価（チェックする）」「改善（より良くする）」という一連の流れが、なぜ情報セキュリティにおいて重要なのかを理解してください。どのような優れたセキュリティ規定も、定期的なチェックと改善がなければ形骸化してしまうからです。