第5回：ISMS運用手順 (2/4)

ISMSからみる情報セキュリティ対策

第５回：ISMS運用手順
著者：みずほ情報総研青木淳 2005/10/31

マネジメントレビュー

マネジメントレビューとは、設定した「情報セキュリティポリシー」や「情報セキュリティ目標」などについて、実際にISMSを運用した結果を元に経営層が定期的に見直すことである。見直しの頻度としては年1回、可能であれば半年に1回実施するとよい（認証基準上ではあらかじめ定められた間隔とある）。またマネジメントレビューの結果については、明確に文書化するとともにその記録を維持することが求められている。つまり議事録として保管するということである。

マネジメントレビューの実施にあたっては、ISMSの運用についての情報を経営層に伝えておく必要がある。認証基準上は以下の内容が求められている。

監査及びレビューの結果

内部監査や外部監査の結果である。

利害関係者からのフィードバック

利害関係者の満足度、利害関係者からのクレーム状況などである。利害関係者（顧客など）を明確にしておく。

ISMSの実施状況及び有効性を改善するために組織において利用可能な技術、製品又は手順

ISMSを支えている技術、製品または手順の機能している状況である。

予防措置及び是正措置の状況

是正・予防措置からの情報でシステムが有効に機能して、継続的に改善が行われているか確認するものである。経営陣に判断を仰ぐような是正措置・予防措置の提示が求められている。

過去のリスクアセスメントで適切に取り扱われなった脆弱性又は脅威

今まで実施したリスクアセスメントで、残存となっていた脆弱性や脅威の情報である。

過去のマネジメントレビューの結果に対するフォローアップ

マネジメントレビューからのアウトプットに対するフォローアップの報告である。過去のマネジメントレビューにおいて、経営陣が指示したことが最後までフォローアップされてクローズされることを確認するために使用する。

ISMSに影響を及ぼす可能性のある全ての変更

ISMSに影響をおよぼす可能性のある変更であり、経営陣が知っておくべき変更情報である。例えば以下のような項目にあたいする。

情報セキュリティの基本方針の変更
組織の変更による責任と権限の変更や手順の変更
ISMSの規格の改定によるISMSの変更など

改善のための提案

マネジメントレビューが単なる報告会ではなく、経営陣をまじえたうえで改善のための提案を行うことが求められている。

表2：経営層につたえる運用に関する情報

上記のような情報を踏まえて、認証基準上では経営層の見直しの際に以下の点を留意することを求めている。

ISMSの有効性の改善
現状のISMSよりも効果的なものにするための改善を提示する。
ISMSに影響を与える可能性のある内部または外部の事象に対応するために必要に応じて加えられる、情報セキュリティを実現する手順の修正。それらの事象には、次の事項に対する変更が含まれる。

事業上の要求事項（事業ドメインの重要性に変化が生じた場合）
情報セキュリティ要求事項（新たな脅威、脆弱性への対応）
既存事業上の要求事項を満たす業務プロセス（業務プロセスが変更された場合、現在実施している情報セキュリティ対策の有効性の確認）
規制環境又は法的環境（新たな法令の施行、既存の法令の改正、規制の新設・改正など）
リスクの度合い及びリスク受容の水準（既存の対応策に対する脆弱性が変化し、リスク度合いが変化した場合の対応）

必要となる経営資源（人の配属・予算・設備の確保などを指示する）

表3：経営層が見直す点

上記のような内容は、おそらく経営会議あるいは幹部会といった経営層が実施する会議で話しあわれている内容だと思われる。ISMS認証取得上では上記のような内容を実施することを求めており、審査の際に確認も行われる。したがって、会議の議事録などを経営層が指示を提示していることがわかるようにしておくと、審査がスムーズに運ぶと思われる。

前のページ 1 2 3 4 次のページ

著者プロフィール
みずほ情報総研株式会社青木淳
みずほ情報総研株式会社システムコンサルティング部シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。