| ISMSは、P(Plan:計画)D(Do:実行)C(Check:点検)A(Act:処置)のマネジメントサイクルを回すことによって、継続的に改善されなければなりません。ISMSは組織の内部・外部の環境の変化等によって、絶えずその有効性に影響を受け続けます。また、長期間運用されることによって、確立・導入されたISMSが、次第に形骸化していくことも懸念されます。このような事態に対応するため、ISMSの有効性を継続的に改善する必要があります。 |
| |
| 1.継続的改善 |
|
ISMSの継続的改善は、PDCAマネジメントサイクルの循環スパイラルによって行われます。「JIS Q 27001:2006」は、以下の事項を利用して、ISMSの有効性の継続的改善を行うと規定しています。
@情報セキュリティーの基本方針
情報セキュリティー基本方針との整合性
A情報セキュリティーの目的
情報セキュリティーの目的の達成度
B監査結果
内部監査の結果・評価
C監視した事項の分析
情報セキュリティーに対する違反・情報セキュリティー事故の分析・評価
D是正処置
E予防処置
Fマネジメントレビュー
経営陣によるISMSの見直し・改善 |
| |
| 2.是正処置(不適合の再発防止) |
|
組織は是正処置として、ISMSの要求事項に対する不適合の原因を除去する処置を実施しなければなりません。是正処置は、不適合が再び発生することを防ぐため、単に不適合となっている現象を修正するものではなく、不適合となる根本的原因を解決するものである必要があります。
是正処置の手順は、以下の要求事項を定義した規定として明文化されます。
@不適合の特定
不適合となっている事象を特定する
A不適合の原因の決定
不適合となる原因を調査し、決定する
B不適合の再発防止を確実にするための処置の必要性の評価
不適合の原因や費用対効果を考慮した上で、再発防止策の必要性を評価する
C必要な是正処置の決定および実施
再発防止策を決定し、実施する
D実施した是正処置の結果の記録
実施した是正処置の内容と結果を記録し、保管する
E実施した是正処置のレビュー
実施した是正処置をレビューし、不適合の再発防止に対する効果を確認する |
| |
| 3.予防処置(不適合の未然防止) |
|
組織は、ISMSの要求事項に対する不適合の発生を防止するために、起こり得る不適合の原因を除去する処置を決定しなければなりません。決定・実施される予防処置は、過剰でも不足でもなく、起こり得る問題の影響に見合ったものである必要があります。
予防処置の手順は、以下の要求事項を定義した規定として明文化されます。
@起こり得る不適合およびその原因の特定
不適合となることが予想される事象とその原因を特定する
A不適合の発生を予防するための処置の必要性の評価
起こり得る問題の影響度と費用対効果を考慮した上で、発生防止策の必要性を評価する
B必要な予防処置の決定および実施
発生防止策を決定し、実施する
C実施した予防処置の結果の記録
実施した予防処置の内容と結果を記録し、保管する
D実施した予防処置のレビュー
実施した予防処置をレビューし、不適合の発生防止に対する効果を確認する
予防処置は、原則としてリスクが高い事象から実施されます。予防処置の実施の優先順位は、リスクアセスメントの結果(リスク評価)に基づいて決定されますが、リスクアセスメントを行った後のリスクの変化には、常に注意を払う必要があります。特に大きく変化したリスクについては、予防処置の優先順位が再検討されるような手順が用意されている必要があります。 |
| |
|
| 前ページへ |
Top Page