ITパスポート 令和4年度 問58：情報セキュリティ・ISMSに関する問題

答えは b「内部監査」 です。

ISMS（情報を守る仕組み）は『計画→運用→評価→改善』という4ステップでぐるぐる回します。このうち“評価”＝『ちゃんとできてる？を確かめる段階』です。

自分たちの仕組みがルール通り動いているかを社内でチェックするのが『内部監査』。だから評価のステップに当てはまります。

👉 覚え方：監査＝『チェックすること』＝評価の段階。

ほかの選択肢：a 運用の計画・管理＝“運用”の段階／c 不適合の直し（是正）＝“改善”の段階／d リスクを決める＝“計画”の段階。それぞれ別のステップなので外れます。

なぜこれが正解か

正解は b（内部監査）。ISMS（ISO/IEC 27001）はPDCA的に『計画（Plan）→運用（Do）→パフォーマンス評価（Check）→改善（Act）』で運用する。パフォーマンス評価（Check）では、監視・測定・分析・評価、内部監査、マネジメントレビューを行う。内部監査はこの評価段階に該当する。

各選択肢の解説

• a 運用の計画及び管理：『運用（Do）』段階の活動。
• c 不適合の是正処置：『改善（Act）』段階の活動。
• d リスクの決定（リスクアセスメント・対応の決定）：『計画（Plan）』段階の活動。

覚え方・ひっかけ注意

PDCAの各語と対応づけて覚える＝『リスク決定→計画／運用管理→運用／監査・測定→評価／是正→改善』。“監査=評価段階”がキー。a・c・dはそれぞれ別フェーズの活動を評価段階に紛れ込ませるひっかけ。

理論的背景

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）はISO/IEC 27001に基づくPDCAベースの情報セキュリティ管理体系であり、本問では「計画→運用→パフォーマンス評価→改善」の4フェーズのうち「パフォーマンス評価で実施するもの」として「内部監査（正解b）」が問われている。

ISO/IEC 27001:2022の箇条番号との対応を整理すると以下の通りである。①計画（Plan）：箇条6「計画」→リスクアセスメント・リスク対応・情報セキュリティ目的の設定。②運用（Do）：箇条8「運用」→運用の計画及び管理（選択肢a）・リスクアセスメントの実施・リスク対応計画の実施。③パフォーマンス評価（Check）：箇条9「パフォーマンス評価」→モニタリング・測定・分析・評価（箇条9.1）・内部監査（箇条9.2）・マネジメントレビュー（箇条9.3）。④改善（Act）：箇条10「改善」→不適合及び是正処置（選択肢c）・継続的改善。

選択肢dの「リスクの決定」は箇条6.1.2「情報セキュリティリスクアセスメント」の計画フェーズで実施するものであり、パフォーマンス評価ではない。

実務での使われ方

内部監査（Internal Audit）の実施方法として、ISO/IEC 27001では「監査プログラム（Audit Programme）」を策定して定期的に実施することが要求される。内部監査員は業務部門から独立した立場で、「文書レビュー」「インタビュー」「現場観察」「サンプリング検証」によって管理策の実効性を確認する。内部監査の結果はAudit Reportとして経営陣に報告され、「是正処置要求（CAR：Corrective Action Request）」が発行されると箇条10（改善）の是正処置サイクルに入る。

ISMSの認証取得組織（ISO/IEC 27001認証）では、認証機関（ISMS-AC等が認定したJAB・BSI・SGSなど）が実施する外部監査（認証審査：初回審査・サーベイランス審査・更新審査）とは別に、内部監査を少なくとも年1回以上実施することが要件となる。内部監査員の資格としてISO/IEC 27001 Lead Auditor（ISO/IEC 17021ベース）が国際的に普及しており、BSI・Bureau Veritasなどが認定コースを提供している。

マネジメントレビュー（箇条9.3）も「パフォーマンス評価」フェーズの成果物であり、経営陣がISMSの全体有効性を評価し、改善の方向性を決定する場である。内部監査結果・リスク対応状況・インシデント情報・法規制変更がインプットとして用いられ、ISMSスコープ変更・方針改訂・目的の見直しがアウトプットとして決定される。

試験での位置づけ

ITパスポートの情報セキュリティ・ISMS分野でPDCAの4フェーズと各活動の対応は頻出テーマである。本問の判断基準は「パフォーマンス評価＝すでに実施した運用の結果を測定・評価する活動」であり、「内部監査」がその典型である点を押さえることが重要である。選択肢aの「運用の計画及び管理」は「運用（Do）」フェーズ、選択肢cの「不適合の是正処置」は「改善（Act）」フェーズ、選択肢dの「リスクの決定」は「計画（Plan）」フェーズというマッピングを完全に覚えることが最短の得点策となる。

情報セキュリティマネジメント試験（SG）・情報処理安全確保支援士（SC）では、ISO/IEC 27001の全箇条（4〜10）とAnnex A（情報セキュリティ管理策：2022年版で93管理策）の内容、ISMSとJIS Q 27001の関係、継続的改善のサイクル（不適合・是正処置・予防処置の違い）まで詳細に問われる。ISMS認証取得プロジェクトの計画・運用管理の実務経験と試験知識の統合理解が上位試験合格の鍵となる。

選択肢の発展補足

選択肢aの「運用の計画及び管理」（箇条8.1）には、情報セキュリティリスク対応計画の実施・サプライチェーンのセキュリティ管理・アウトソーシング管理・変更管理・インシデント管理が含まれる。「計画」という語が含まれるが、これはPDCAの「Plan」ではなく「Do（運用実行）」フェーズで具体的な計画を立て実行するという意味で使われている。この「計画及び管理」という表現がISO規格独特の言い回しであり、「Plan（全体戦略計画）」と「計画及び管理（運用レベルの計画）」の混同が誤答の原因となりやすい。

選択肢dの「リスクの決定」は、ISO/IEC 27001の「リスクアセスメント（Risk Assessment）」プロセスの中で「どのリスクが情報セキュリティ上の懸念事項か」を特定・分析・評価するステップである。リスクアセスメントはISO/IEC 27005（情報セキュリティリスクマネジメント）で詳細な実施手順が規定されており、資産ベース・イベントベースのアプローチがある。リスクの決定はISMSの計画・更新サイクルで定期的に（少なくとも大きな変化がある際に）実施されるため、パフォーマンス評価フェーズとは時系列的にも異なる。