特集 ISOとは何か 新入社員のためのISOガイド2006
ISO27001のPDCAサイクル
PDCAサイクル
ISO27001においては、他のマネジメントシステム同様、Plan(情報セキュリティ対策の具体的計画・目標策定)、Do(計画に基づいた対策の実施・運用)、Check(実施結果の監視・見直し)、Act(経営陣による改善・処置)というサイクルを継続的に繰り返し、情報セキュリティレベルの継続的改善を図る、というPDCAサイクルを取り入れている。
Plan-計画(ISMSの確立)
組織の全般的な方針・目標に沿った比較可能・再現可能な結果が出るようリスクマネジメント(認識・評価)を行い、情報セキュリティ基本方針の決定、適用範囲の定義、適用宣言書(管理目的・管理策を記述した文書)の作成、プロセス・手順の確立を行う段階である。
経営者は基本方針の策定、情報セキュリティ担当役員・担当部署の設置、情報セキュリティ予算の確保、リスク評価に基づく優先順位づけと長期計画策定を行う。
担当部署では基本方針に基づく関連ルール作成、対策計画(技術・運用)、リスク分析、教育計画を策定する。
Do-実施(ISMSの導入及び運用)
管理目的に合った管理体制を導入し、基本方針、対策、プロセス、手順を実施・運用する。
担当部署は個別の技術対策を実施し、基本方針、ルールの教育・訓練、対策上の各種設定のメンテナンス、監視、ログ等証跡のチェック、セキュリティ・ホール情報の収集、緊急時対応を行う。
経営者は情報セキュリティ強化のための主要施策の承認、セキュリティ事故のレビュー・監視を行う。
Check-点検(ISMSの監視及び見直し)
基本方針、管理目的を満たしているか、プロセスの実施状況を評価し、可能な場合には測定し、経営陣に報告する。
担当部署は不正侵入防止(ペネトレーション)テスト、実施状況のチェックを行う。経営者は情報セキュリティ監査、有効性検証、残余リスク及び受容可能なリスクレベルの評価を行い、内部監査を実施する。
Act-処置(ISMSの維持及び改善)
ISMSの継続的な改善を実現するため、マネジメントレビューの結果に基づいて改善・予防処置を講ずる。
担当部署は改善・是正計画を立案し、実施する。
経営者はセキュリティ基本方針の改訂、ぜい弱性是正のための主要な措置の承認を行う。ここには教育研修も含まれる。
■PDCAサイクル
<アイソムズ 2006年4月号掲載>
