令和4年度 ITパスポート試験 公開問題 問58 解説 ISMSのパフォーマンス評価

この問題は、ISMS（情報セキュリティマネジメントシステム）におけるPDCAサイクルの「C（Check：評価）」にあたる活動を特定できれば正解できます。

ISMSのパフォーマンス評価とは、組織の情報セキュリティ対策が計画通りに機能しているか、意図した成果が出ているかをチェックするプロセスです。選択肢のうち、自ら運用状況を点検し、基準に適合しているかを客観的に評価する活動である「内部監査」がこのプロセスに該当します。

ISMSのプロセスとPDCAの対応関係 ISMSはPDCAサイクルを繰り返すことで継続的に改善していきます。各フェーズで実施される主要な活動を整理すると、本問題の選択肢がどの段階に当てはまるかが明確になります。

P（Plan：計画） リスクアセスメント（リスクの特定・分析・評価）を行い、情報セキュリティ基本方針や計画を策定する段階です。選択肢のエ「リスクの決定」は、計画段階の基礎となる活動です。

D（Do：運用） 計画に基づいて、情報セキュリティ対策を実施・運用する段階です。選択肢のア「運用の計画及び管理」は、まさに計画を実行に移すこの段階に属します。

C（Check：評価） 運用状況が計画通りか、ルールが守られているかをチェックする段階です。ここには、監視や測定のほか、正解である「内部監査」や「マネジメントレビュー（経営陣による見直し）」が含まれます。

A（Act：改善） 評価の結果、不適合や改善点があれば対策を講じる段階です。選択肢のウ「不適合の是正処置」は、問題点を是正し、再発を防止するための活動なので、この段階に属します。

試験での活用ポイント この種の問題は、用語とPDCAの各ステップを紐付けて覚えることが重要です。「内部監査」という言葉が出てきたら、それは組織のルールが守られているかを自分たちでチェックする「評価（C）」の活動である、と瞬時に判断できるようにしましょう。

また、ITパスポート試験では、ISMS（JIS Q 27001）の用語をPDCAのどの段階で行うか入れ替えたひっかけ問題がよく出題されます。「計画（Plan）＝リスク分析」「運用（Do）＝対策実施」「評価（Check）＝内部監査」「改善（Act）＝是正処置」というペアをキーワードとして記憶しておくと、迷わず回答できます。

ISMS（情報セキュリティマネジメントシステム）とは - ITパスポート試験ドットコム 情報セキュリティマネジメントシステム（ISMS）の概要 - 一般財団法人日本情報経済社会推進協会（JIPDEC） JIS Q 27001:2023 情報セキュリティマネジメントシステム要求事項 - 日本産業標準調査会データベース