| ISMSが準拠する「JIS Q 27001:2006」は、「経営陣は、組織のISMSが引き続き適切であり、妥当であり、かつ、有効であることを確実にするために、あらかじめ定められた間隔(少なくとも年1回)で、ISMSをレビューしなければならない。」と規定し、ISMSの維持・改善に事業者の代表者・役員の積極的な関与を要求しています。組織の経営陣は、ISMSの導入時のみではなく、ISMSの運用開始後も継続的に統率力・リーダーシップを発揮し、その適切性・妥当性・有効性を確保しなければなりません。 |
| |
| 1.マネジメントレビューの意義 |
|
ISMSの内部監査が、現在運用されているのISMSの範囲内で管理目的・管理策・プロセス・手順と諸要求事項(ISMSの内部監査を参照)との適合性、その実施・維持の有効性を判断するのに対し、経営陣によるマネジメントレビューは、今後の事業の方向性や社会情勢・経済環境をも視野に入れ、ISMSのあり方そのものを経営的観点から巨視的に見直す機会であると言えます。
マネジメントレビューでは、以下の事項について検討され、必要に応じて見直しが行われます。
@情報セキュリティーの基本方針の変更の必要性
A情報セキュリティーの目的の変更の必要性
BISMSに対する改善の機会の必要性
CISMSに対する変更の必要性
マネジメントレビューの結果は、明確に記録として文書化し、管理されなければなりません。 |
| |
| 2.マネジメントレビューへのインプット |
|
マネジメントレビューでは、経営陣がISMSの適切性・妥当性・有効性を判断できるように、必要な情報が提供される必要があります。経営陣は、これらの情報を基に、マネジメントレビューでの検討事項を討議し、見直しの必要性を判断します。
マネジメントレビューには、以下の情報を提供しなければなりません。
@ISMS監査及びレビューの結果
実施した内部監査の結果の報告を行う
A利害関係者からのフィードバック
従業者・取引先・顧客・業務委託先・出資者等からの意見・要望の報告を行う
BISMSのパフォーマンスおよび有効性を改善するために、組織の中で利用可能な技術・
製品・手順
最新のセキュリティー技術・製品・手順の報告を行う
C予防処置及び是正処置の状況
予防処置・是正処置(ISMSの改善を参照)の実施状況の報告を行う
D前回までのリスクアセスメントが十分に取り上げていなかった脆弱性・脅威
リスクアセスメントを再評価し、新たに判明した脆弱性・脅威の報告を行う
E有効性測定の結果
リスク管理策の有効性の測定結果の報告を行う
F前回までのマネジメントレビューの結果に対するフォローアップ
前回までのマネジメントレビューの指摘事項に関する実施状況・実施結果の報告を行う
GISMSに影響を及ぼす可能性がある、あらゆる変化
組織を取り巻く外部環境、組織内の変化の報告を行う
H改善のための提案
@からGまでの事項以外の改善の提案があれば、報告を行う |
| |
| 3.マネジメントレビューからのアウトプット |
|
経営陣は、インプットされた情報を基に、マネジメントレビューのアウトプットとしてISMSの改善に関する決定・処置を行います。マネジメントレビューは単なる報告・討議の場ではなく、ISMSの見直しの必要性を判断し、その改善のための方策を決定する機能を有していなければなりません。
マネジメントレビューからのアウトプットには、以下の事項に関係する決定・処置を含める必要があります。
@ISMSの有効性の改善
情報セキュリティーの確立(Plan:計画)、導入・運用(Do:実行)、監視・レビュー
(Check:点検)、維持・改善(Act:処置)のプロセスの有効性を改善すること
Aリスクアセスメント・リスク対応計画の更新
外部・内部の環境の変化に対応したリスクアセスメント・リスク対応計画を変更すること
BISMSに影響を与える可能性がある内外の事象(以下の事象)に対応するために、
必要に応じた情報セキュリティーを実現する手順および管理策の修正
@)事業上の要求事項
A)セキュリティー要求事項
B)現在の事業上の要求事項を実現する業務プロセス
C)法令または規制の要求事項
D)契約上の義務
E)リスクのレベル・リスクの受容基準
@)からE)のISMSに影響を与える可能性のある事象の変化に対応して、情報セキュリ
ティーを実現する手順・管理策を修正すること
C必要となる経営資源
マネジメントレビューで決定した改善策を実施するための経営資源(予算・人員等)を
確保すること
D管理策の有効性測定方法の改善
新しい情報セキュリティー技術・理論の発見等によって、現在の管理策の有効性測定方法
の見直しを行うこと |
| |
| 4.マネジメントレビューのフォローアップ |
|
マネジメントレビューによって決定された各改善策は、明文化された上で、確実に実施されなければなりません。改善策の実施状況・実施結果は、その改善策と共に記録され、次回のマネジメントレビューの情報として提出されます。 |
| |
|
| 前ページへ |
Top Page