| 情報セキュリティーマネジメントシステムを確実に運用する一方、その定期的・継続的な監視・レビュー・維持・改善もまた情報資産を保護・管理するための重要な活動になります。情報セキュリティーマネジメントシステムは、ISMS内部監査・是正処置・予防処置の実施・マネジメントレビューによって、その機能をより高度なレベルに引き上げることができます。また、これらの継続的改善の実施に関する記録は、ISMS認証更新の際のエビデンス(証拠)になります。 |
| |
| 1.ISMSの内部監査 |
|
ISMS導入当初は適正に運用されていた情報セキュリティー管理策も、時間の経過によって、しだいにその機能が十分に発揮されなくなることがあります。情報セキュリティー管理責任者・情報セキュリティー管理担当者等は、情報セキュリティーマネジメントシステムの運用状況を随時または定期的に確認し、その結果を検証・評価することによって、運用上の不適合事項・改善点を把握します。
また、監査責任者は、情報セキュリティーマネジメントシステムと「JIS Q 27001:2006」の要求事項との整合性、情報セキュリティーマネジメントシステムの運用状況について、定期的に監査を行い、その結果を検証・評価し、代表者に報告するとともに、情報セキュリティー管理責任者・情報セキュリティー管理担当者等に、不適合事項・問題点の是正・改善についての計画の策定を指示します。
ISMSの監査の結果としての評価・代表者への報告、是正・改善についての計画は、各管理者・責任者によって文書化され、記録として保存・管理されます。 |
| |
| 2.是正処置・予防処置の実施 |
|
ISMSの監査の結果として判明した情報セキュリティーマネジメントシステムにおける不適合事項・問題点は、速やかに是正処置を講じ、改善されなければなりません。また、今後発生が予想される問題点が発見されれば、それに対する予防処置を講じ、セキュリティー事故等が生じる事態を未然に防ぐ必要があります。これら是正処置・予防処置を着実に実施し、情報セキュリティーマネジメントシステムに対し継続的に反映させていくことが、情報資産を保護・管理する取り組みの中でも、最も重要な活動になります。
是正・予防処置の実施の履歴とその結果の評価は、各管理者・責任者によって文書化され、記録として保存・管理されます。 |
| |
| 3.マネジメントレビュー |
|
ISMSの継続的改善(PDCAサイクル)において、中心的役割を担うのは事業者の代表者です。事業者の代表者は、情報セキュリティーマネジメントシステムにおける最高管理責任者として、経営的見地から積極的・主体的にその実施・維持・改善を行っていかなければなりません。
マネジメントレビューは、ISMSの監視・ISMSの監査の結果の評価や是正処置・予防処置の状況等の資料、また社会情勢の変化や事業領域の変化等の要素を総合的に判断し、全組織的な視点から実施されます。
マネジメントレビューの実施の履歴は、明確に文書化され、記録として保存・管理されます。 |
| |
|
| 前ページへ |
Top Page