ISMSの改善
教育資料01のISMSの改善です。
ISMS教育資料|ISMSの内部監査、及びマネジメントレビュー→
ISMSの内部監査
≪原文≫
これは、定められた期間において、ISMSの確立及び維持状況、及び情報セキュリティ基本方針において選択された管理策などを点検・評価するものである。また、不適合であると判断された場合は、問題が改善されるようフォローアップを行う事が最も重要となっている。
→ ポイント
つまり、ISMSの維持、管理策の実施状況を点検、評価する事により、問題点を洗い出し改善につなげる事が目的。
マネジメントレビュー
≪原文≫
ISMSは、組織の情報セキュリティを維持向上する為に導入されており、それを達成しISMSを改善していく為にマネジメントレビューを行う事が重要である。経営陣は、こうした意識を持ち自ら率先してISMSの確立・維持・評価を実践しなければならない。
マネジメントレビューの実施
マネジメントビューは少なくとも年1回定期的に実施しなくてはならない。実施については、現実的に経営陣が自分自身でレビューする事は難しい為、担当者(補佐)部門を定めて実施をさせる。また、レビュー結果は、担当役員が内容を十分チェックするとともに、不十分であれば再調査や追加調査を指示し対応をとらなくてはならない。
内部監査とマネジメントレビューの違い
内部監査 … 組織のISMSで定めた事項に沿って、その実施状況を確認する事が中心となる。
マネジメントレビュー … 経営の視点からISMS全般をチェックする事が重要視されている。
→ ポイント
定期的なレビュー(少なくとも年1回)の実施と経営的視点より、ISMSの確立、維持、評価、改善を行うものである。
マネジメントレビューのインプット、アウトプット
マネジメントレビューでのインプットとは、マネジメントレビューで確認する事項(レビューの対象項目)である。また、アウトプットとは、マネジメントレビューの成果(効果)と考える。
→ ポイント
マネジメントレビューのインプットではレビュー項目の確認を行い、アウトプットではレビュー内容を基に情報セキュリティの実現手順、及び管理策を改善させる事を目的としている。