「ISMS規格をわかりやすく解読する」シリーズの8回目は、「9.パフォーマンス評価」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

9.1 監視、測定、分析及び評価

ここでは、ISMSのPDCAサイクルのC、つまりCheckの部分についての要求が記載されています。組織は、ISMSが有効に機能しているかどうかを評価しなければなりません。その評価をどのように行うのかに関して、決めておくべき内容があります。

それが、「監査や測定の対象」「その監査や測定の方法」「実施者」「実施時期」「結果を分析し評価する時期」「結果の分析・評価を行う実施者」です。測定の対象とは、例えば管理策が適当に行われているか、情報セキュリティ目的が達成できているか、社員やISMS管理者への教育ができているか、などが考えられます。

9.2内部監査

組織は、予め定めた間隔で内部監査を行う必要があります。内部監査で確認することは「組織が規定した要求事項がしっかり守られているか」「ISMS規格、すなわちJIS Q 27001に適合しているかどうか」です。

より具体的には、組織はこの監査において行わなければならない幾つかのことがあります。まずは「監査プログラムを作成し、実施し、維持すること」です。監査プログラムには、詳細な内部監査の日時、方法などを記載しておく必要があります。他にも、公正な立場から監査員を選定する、監査基準や監査範囲を明確にする、監査の結果を管理層に報告する、文書化した情報を保持する、といったことが求められています。

9.3マネジメントレビュー

トップマネジメントは、組織のISMSが有効に機能しているかどうかをしっかりと確認するために、決められた間隔でISMSをレビューする必要があります。

なお、マネジメントレビューを行う際に必要な事項として「前回までのマネジメントレビューの結果取った処置がどうなっているか」「ISMSに関する外部及び内部の課題がどう変化しているのか」「監査の結果や情報セキュリティ目標の達成状況などを踏まえたISMSに対するフィードバック」「利害関係者からのフィードバック」「リスクアセスメントの結果や、リスク対応の状況」「継続的改善の機会」などを考慮する必要があります。その結果、改善が必要とされた場合には、修正していく方針を決める必要があります。なお、マネジメントレビューの結果は文章化して保存しておかなければなりません。

ISMS規格をわかりやすく解読する【9.パフォーマンス評価】

Posted in 規格解説

「ISMS規格をわかりやすく解読する」シリーズの8回目は、「9.パフォーマンス評価」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

9.1 監視、測定、分析及び評価

ここでは、ISMSのPDCAサイクルのC、つまりCheckの部分についての要求が記載されています。組織は、ISMSが有効に機能しているかどうかを評価しなければなりません。その評価をどのように行うのかに関して、決めておくべき内容があります。

それが、「監査や測定の対象」「その監査や測定の方法」「実施者」「実施時期」「結果を分析し評価する時期」「結果の分析・評価を行う実施者」です。測定の対象とは、例えば管理策が適当に行われているか、情報セキュリティ目的が達成できているか、社員やISMS管理者への教育ができているか、などが考えられます。

9.2内部監査

組織は、予め定めた間隔で内部監査を行う必要があります。内部監査で確認することは「組織が規定した要求事項がしっかり守られているか」「ISMS規格、すなわちJIS Q 27001に適合しているかどうか」です。

より具体的には、組織はこの監査において行わなければならない幾つかのことがあります。まずは「監査プログラムを作成し、実施し、維持すること」です。監査プログラムには、詳細な内部監査の日時、方法などを記載しておく必要があります。他にも、公正な立場から監査員を選定する、監査基準や監査範囲を明確にする、監査の結果を管理層に報告する、文書化した情報を保持する、といったことが求められています。

9.3マネジメントレビュー

トップマネジメントは、組織のISMSが有効に機能しているかどうかをしっかりと確認するために、決められた間隔でISMSをレビューする必要があります。

なお、マネジメントレビューを行う際に必要な事項として「前回までのマネジメントレビューの結果取った処置がどうなっているか」「ISMSに関する外部及び内部の課題がどう変化しているのか」「監査の結果や情報セキュリティ目標の達成状況などを踏まえたISMSに対するフィードバック」「利害関係者からのフィードバック」「リスクアセスメントの結果や、リスク対応の状況」「継続的改善の機会」などを考慮する必要があります。その結果、改善が必要とされた場合には、修正していく方針を決める必要があります。なお、マネジメントレビューの結果は文章化して保存しておかなければなりません。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする