情報セキュリティマネジメント試験 科目A 重要キーワード解説
PDCAサイクルとは、Plan(計画)→ Do(実行)→ Check(評価)→ Act(改善)の4段階を繰り返し、活動を継続的に改善していくマネジメント手法です。情報セキュリティでは、ISMSを運用・改善する基本的な枠組みとして用いられます。
一度対策して終わりではなく、サイクルを回し続けることで、変化する脅威や環境に対応し、セキュリティ水準を維持・向上させます。「継続的改善」がキーワードです。
| 段階 | ISMSでの内容 |
|---|---|
| Plan(計画) | 適用範囲・方針を定め、リスクアセスメントを行い、管理策を選ぶ。 |
| Do(実行・運用) | 定めた管理策・ルールを実施・運用する。 |
| Check(点検・評価) | 内部監査やマネジメントレビューで有効性を評価する。 |
| Act(改善) | 問題点を是正し、次の計画(Plan)に反映する。 |
PDCAのCheck・Actを怠ると、ルールが実態に合わなくなり形骸化します。例えば、新たに導入したクラウドサービスがリスクアセスメントに反映されず、設定ミスで情報漏えいを起こす、といった事態です。定期的な見直しが、こうした「対策の穴」を防ぎます。