ISO27001:2013(ISMS):2013年度規格改訂 9.3項「マネジメントレビュー」規程解釈


N112_sukejyurucyouseicyu_TP_V

こんにちは!!

ISO総合研究所コンサルタントの結石(けいし)と申します!

さて、今日はISO27001(アイエスオー:ISMS):2013年度版の「9.3 マネジメントレビュー」について解説します!

まずは要求事項を確認してみましょう!

――――――――――――――――――――――――――――――――――――――――――――――

ISO(アイエスオー)27001:2013年度版

9 パフォーマンス評価

9.3  マネジメントレビュー

 

トップマネジメントは,組織のISMS(アイエスエムエス) が,引き続き,適切,妥当かつ有効であることを確実にするため

に,あらかじめ定めた間隔で,ISMS (アイエスエムエス)をレビューしなければならない。

マネジメントレビューは,次の事項を考慮しなければならない。

  1. a) 前回までのマネジメントレビューの結果とった処置の状況
  2. b) ISMS に関連する外部及び内部の課題の変化
  3. c) 次に示す傾向を含めた,情報セキュリティパフォーマンスに関するフィードバック

1) 不適合及び是正処置

2) 監視及び測定の結果

3) 監査結果

4) 情報セキュリティ目的の達成

  1. d) 利害関係者からのフィードバック
  2. e) リスクアセスメントの結果及びリスク対応計画の状況
  3. f) 継続的改善の機会

 

マネジメントレビューからのアウトプットには,継続的改善の機会,及びISMS (アイエスエムエス)のあらゆる変更の必要

性に関する決定を含めなければならない。

組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。

解釈のポイントとしては、

トップが設定した「情報セキュリティ方針」「情報セキュリティ目的」等に対して、

トップ自らが情報セキュリティマネジメントシステムの運用やその成果

を確認して評価し、次のアクションにつなげる活動です。

 

トップが考慮することしては、

まず、トップが以前指示した内容が反映されているのかの確認から始まります。

これはマネジメントレビューそのものを形骸化させないために重要です。

そのほかは特に難しく考えずに、これまで作ったルールや活動の報告をすると考えればほとんどの事項が網羅されます。

トップに正確な意思決定を促すためには、漏れのない確実な情報の報告が重要となります。

 

レビューからのアウトプットとしては、

報告をうけトップ自らの考えを行動に落とし込みます。

①今の活動をこのまま続けさせてよいのか?

②このまま続けていけるか?

③ヒトやモノは充分か?

④目的目標を変更しなくてよいか?

⑤無駄に動いていないか?

⑥会社の方向性にあっているか?

というような内容を評価して具体的な行動をきめていくとよいでしょう。

 

ルール作りのポイントとしては

2013年版の改訂により、トップへのインタビューが増えそうです。

この内容を議事にまとめておくと審査でも実際の活動でも効果的に使えそうです。

会社として課題と捉え、取り組むと決めた事項については5W1Hの視点で

誰がいつまでにどのように何をどこでするかを明確にし、

進捗を追っていけるとよいと思われます。

その中で必要のない事項は整理して、優先課題に常に取り組んで行けるキッカケに

してほしいという意図があります。

 

いかがだったでしょうか?

 

長々とご説明しましたが、ご理解いただけましたでしょうか?

もっと話が詳しく聞きたい!という方は、ぜひISO(アイエスオー)総合研究所にお問い合わせ下さい!

メールアドレス