本記事ではISMSにおける「管理策の有効性評価」にご紹介します。
2015年版の改訂後、管理策の有効性評価について「簡単な方法はないか?」などのお声を多数いただきました。

そこで、ポイントを交えながら解説していきます。

管理策の有効性評価とは?

私たちから見ても大変そうだと思うのが、管理策の有効性評価。
一番多いのは、管理策に対して現状の取り組みを並べ、それに対して有効性評価を行う、という書式です。

色んな企業様でお話を聞きますが、次のような声が上がることが多いです。

「この形でやるのは大変だし時間がかかる」
「もうちょっと楽して評価したい」

管理策の有効性評価とは一体何かを知るためにも、ISO27001の「9.1 監視,測定,分析及び評価」を見て行きましょう。

以下のように記載があります。

組織は,情報セキュリティパフォーマンス及びISMS の有効性を評価しなければならない。
組織は,次の事項を決定しなければならない。

a) 必要とされる監視及び測定の対象。これには,情報セキュリティプロセス及び管理策を含む。
b) 該当する場合には,必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法
注記 選定した方法は,妥当と考えられる,比較可能で再現可能な結果を生み出すことが望ましい。
c) 監視及び測定の実施時期
d) 監視及び測定の実施者
e) 監視及び測定の結果の,分析及び評価の時期
f) 監視及び測定の結果の,分析及び評価の実施者

組織は,監視及び測定の結果の証拠として,適切な文書化した情報を保持しなければならない。

ISMSを手間なく・楽に運用したい方!
「これさえあれば大丈夫!ISMS準備チェックリスト」無料プレゼント!
プレゼントお申込みはこちら

 

まとめ

一見難しいように感じられますが、要するに「何を」「いつ」「誰が」「どのように」という項目さえ決まっていれば、やり方は自由です。

では管理策を全部チェックする時期。
内部監査ですと管理策をどう見直しますか?
全部見ている企業様が多いのではないでしょうか。

その場合、有効性の評価も一緒に行ってしまえば一石二鳥。
監査でチェックをしながら、最善の方法を探すことが出来ます。

せっかく運用しているISO27001ですから、自社に合った方法での運用がないか、探してみてください。

  • お客様の声
  • 無料プレゼント
SNSでシェア

タグ   :

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03