ISMSの改善
教育資料01のISMSの改善です。
ISMS教育資料|情報セキュリティ基本方針(A5)→
継続的改善
≪原文≫
ISMSの継続的改善では、ISMS内部監査の結果や組織内外の状況変化に応じて実施を行う。また、重要であるのは、マネジメントレビューの結果も踏まえて総合的に改善を行う。
→ ポイント
継続的改善は、ISMS内部監査やマネジメントレビューの結果を鑑みて改善計画の策定を行う。
是正措置
≪原文≫
是正措置とは、ISO27001の要求事項と組織が確立し運用しているISMSとの間には、組織内外の状況変化により差異(不適合)が生じる可能性がある。その不適合を修正し、ISO27001の要求事項に適合したものにするための措置である。
→ ポイント
是正措置とは、組織内外の状況変化による差異(不適合)をISO27001の要求事項に適合させるものである。
予防措置
≪原文≫
予防措置とは、是正措置とは異なり将来発生するおそれのある不適合に対する措置である。また、予防措置を講じておく事により、情報セキュリティインシデントが発生した場合における損害賠償責任が軽減される可能性もある。
→ ポイント
予防措置とは、将来起こりえるであろう不適合に対する手立てを講じる事である。
まとめ
情報セキュリティとは、情報を安全な状態(機密性、完全性、可用性の3要件を満たす)にしておく事である。それは、組織内外からのリスク、脅威から情報資産を守る事であり、そのためには情報セキュリティを維持するマネジメントシステム(ISMS)の構築が必要不可欠となる。そして、そのマネジメントシステムを継続的に機能させる為にPDCAモデルが適用されている。
つまり、情報セキュリティマネジメントシステムを構築、維持、管理を行う事で、組織に対するリスク、脅威を減らし、利害関係者に対する評価と判断、そして、信頼を享受し得る事を目的としているものである。