「ISMSの改善」を編集中

教育資料01のISMSの改善です。<br>
[[ISMS教育資料]]｜[[ISMSの内部監査、及びマネジメントレビュー]]→

<div id="manual">
=='''継続的改善'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
組織は、情報セキュリティ基本方針、情報セキュリティ目的、監査結果、監視した事象の分析、是正措置、予防措置及びマネジメントレビューを通じて、ISMSの有効性を継続的に改善すること。</div>
これは、定められた期間において、'''ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。'''また、不適合であると判断された場合は、問題が改善されるよう'''フォローアップを行う事が最も重要となっている。'''
<div class="example">
'''→ ポイント'''<br>
つまり、<em>ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。</em>
</div>
</div>

</div>




<div id="manual">
=='''マネジメントレビュー'''==
<div class="example">
<div class="example">
'''≪原文≫'''<br>
経営陣は、組織のISMSが引き続き適切で、妥当かつ有効である事を確実にするために、あらかじめ定められた期間でISMSをレビューすること。このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティ基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行うこと。 ＜…以下省略＞</div>
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
</div>


<div class="example">
===マネジメントレビューの実施===
マネジメントビューは'''少なくとも年1回定期的に実施'''しなくてはならない。実施については、現実的に経営陣が自分自身でレビューする事は難しい為、担当者(補佐)部門を定めて実施をさせる。また、レビュー結果は、担当役員が内容を十分チェックするとともに、'''不十分であれば再調査や追加調査を指示し対応をとらなくてはならない。'''
</div>
<div class="example">
===内部監査とマネジメントレビューの違い===
'''内部監査''' … 組織のISMSで定めた事項に沿って、その実施状況を確認する事が中心となる。<br>
'''マネジメントレビュー''' … 経営の視点からISMS全般をチェックする事が重要視されている。
<div class="example">
'''→ ポイント'''<br>
定期的なレビュー(少なくとも年１回)の実施と<em>経営的視点より、ISMSの確立、維持、評価、改善を行うものである。</em>
</div>
</div>


</div>


<div id="manual">
=='''マネジメントレビューのインプット、アウトプット'''==
<div class="example">
マネジメントレビューでのインプットとは、マネジメントレビューで確認する事項(レビューの対象項目)である。また、アウトプットとは、マネジメントレビューの成果(効果)と考える。<br>
[[画像:ims08.jpg]]

<div class="example">
'''→ ポイント'''<br>
マネジメントレビューの<em>インプットではレビュー項目の確認</em>を行い、<em>アウトプットではレビュー内容を基に情報セキュリティの実現手順、及び管理策を改善させる事を目的</em>としている。
</div>
</div>

</div>