マネジメント

Plan（計画）

最初のステップは、ISMSの核となる情報セキュリティ基本方針の計画です。その代表が情報セキュリティポリシーの計画です。
保護すべき情報資産を洗い出し、リスク評価を行って組織の情報セキュリティにおける脅威と脆弱性とリスクを見極め、守るべき情報資産は何で、それを何から守るのか、そのために導入すべき管理策はどうするのかを決定します。

Do（実行・運用）

計画した管理策を導入し運用します。
初めに情報セキュリティ対策の根本となる、ハードウェアの設置やソフトウェアの設定を行います。
また、実施するのは「人」なので、「人」への制御をきちんと行うことも重要な要素です。全従業者に対するセキュリティポリシーの周知徹底やセキュリティ対策基準の教育、さらには異動者や退職者の迅速且つ適切な対応も欠かさないようにします。

Check（評価・検証）

導入されたセキュリティ対策が有効か、漏れはないか、新たな脅威はないかなど、定期的に基本方針とISMS全体の評価・見直しを行い、その結果について、自己評価（セルフアセスメント）と第三者評価を実施します。
「自己評価」では、各部門の責任者や担当者が、導入した個々の対策の効果や達成度を評価します。自らが行うため、手間、時間、費用が少なくて済み、手軽に行うことができます。チェックする項目や範囲に応じて、1週間毎、1ヶ月毎など日常的に行うケースや、年度計画を定めて定期的に行うケースがあります。
「第三者評価」は、対策の導入や運用に関与していない独立の立場の専門家に依頼して行います。実施には時間と手間と費用がかかり、事前準備にもかなりの時間を要します。そこで、実施時期を決め予算化した上で、半年に1回、1年に1回など、計画的に行います。
比較的頻繁に実施できる「自己評価」に客観的な「第三者評価」を計画的に加えることで、全体を網羅でき、適切な視点で評価を行うことができます。

Act（改善）

評価・検証した結果を踏まえて、情報セキュリティに関する事件・事故やセキュリティポリシー違反などに対する再発防止策を検討し、それらに繋がるリスクの予防策を講じます。ISMSの改善処置には、資金や時間などの資源を伴いますので、経営陣の権限と協力が必要になります。
この改善の内容を最初のステップである「計画」にフィードバックし、PDCAサイクルを繰り返します。これにより、ISMSを継続的に改善していくことが可能となります。

ISMS適合性評価制度

ISMS適合性評価制度は、我が国の情報セキュリティ全体の向上に貢献するとともに、諸外国からの信頼も得られる情報セキュリティレベルを達成することを目的としたもので、2002年4月より運用が開始されました。
これは、組織が構築したISMS が認証基準に適合していることを第三者が認証する国際的に整合性のとれた制度で、ISO9001やISO14001と同様の制度です。
ISMSの認証基準JIS Q 27001：2014（ISO/IEC 27001：2013）は、ISMS適合性評価制度において、第三者である認証機関が、本制度の認証を希望する組織の適合性を評価するための基準です。
「ISMS適合性評価制度」において認証を取得することは、組織の情報セキュリティ管理体制の整備や社内組織の体質強化に繋がるだけでなく、国内外問わず対外的に情報セキュリティの信頼性確保や事業競争力の強化にも繋がります。

まとめ

今回はISMSの維持・保全に必要なPDCAを具体的に説明しました。
日本レコードマネジメントでは、電子文書管理の専門知識と豊富な経験を活かし、お客様のニーズに合った電子文書管理の体制を構築、提供いたします。お気軽にお問い合わせください。

本記事は、当社広報室にて発信しています。