ISMSにおけるPDCAサイクルとは?
情報セキュリティマネジメントシステム (ISMS )は組織によって様々ですが、ISMSの 規格 では、PDCAサイクルによる継続的改善が求められることが多いと思います。しかし、マネジメントシステム規格を初めて見る人にとっては、ISMSにおけるPDCAサイクルというのは馴染みがないかもしれません。
今回は、ISMSにおけるPDCAサイクルとは具体的にどのようなものなのかということについて解説していきたいと思います。
目次
ISMSにおけるPDCAサイクルとは?
ISMSにおけるPDCAサイクルとは、情報セキュリティ水準を継続的に高めるための枠組みのことです。ISMSの有名な規格には、ISO27001 やPマークというものがありますが、これらはいずれも情報セキュリティ水準の継続的改善を目的として様々なことを要求しています。――各要求事項は、マネジメントシステムにおけるPDCAサイクルを構築するためにあると言っても過言ではありません。
具体的にISO27001では、以下のような大きな流れによってPDCAサイクルを構築していきます。
情報セキュリティ目的の策定
情報セキュリティ目的 とは、情報セキュリティ方針と整合性の取れた計測可能な目標のことです。ここでポイントとなるのは、「計測可能である」という点です。
計測可能である必要があるのは、PDCAサイクルのC(確認)を定量的かつ合理的に行うためです。例えば、「サービス提供に使うサーバーを強固にする」という目標は計測不可能です。これでは「どれだけ達成できたのか」ということを見返すことができませんよね? どれだけ達成できたかを知ることができなければ、「何が課題か、何がうまくいったか」を評価することができなくなり、PDCAがPDCまでで止まってしまいます。PDCAPDCAと繰り返し改善していくためには、この流れを途切れさせるような目標を定めることは望ましくありません。計測可能な情報セキュリティ目的を立てて、その達成度合いを客観的に評価する必要があるのです。
情報セキュリティ計画の実行
次に、情報セキュリティ目的を達成するための計画を策定し、その計画を実行していきます。これはPDCAのD(実行)の部分にあたるパートです。
情報セキュリティ計画の実行結果のレビュー
計画を実行した結果、当初定めた目標が達成できたのか、また、達成度合いはどの程度かということを評価(レビュー)します。ここで客観的な評価を下すために、情報セキュリティ目的は計測可能である必要があったのです。
予防処置・是正処置・改善
レビューの結果に基づき、マネジメントシステムにおいて改善できる部分はないか、あるいは「どうすれば達成できたか」といったことを発見、これを実際に是正処置・予防処置 という形で反映していきます。
そして、必要に応じて情報セキュリティ目的を見直しましょう。時が経てば組織の状況も変化しますし、達成しなければならない情報セキュリティ目的も変化してくると思います。
マネジメントシステムにおいてPDCAサイクルが重要な理由
マネジメントシステム規格においては、「現時点でどの程度セキュリティ水準が高いか」ということよりも、「継続的な改善ができる状態にあるか」ということが重視されます。――これは、考えてみれば簡単なことですが、マネジメントシステムは導入したからといってすぐに情報セキュリティ水準が高まるようなものではないからです。
ISMSは、情報セキュリティという分野において、組織の合理的な判断を補助するためのツールです。技術的な解決策ではなく、管理手段レベルでの解決となるため、PDCAサイクルを回し、継続的な改善を実行できる状態にあることが重要な要素となるのです。
このため、ISO27001を始めとするマネジメントシステム規格でも、「法的要求事項を達成する」ということ以外、セキュリティ水準の高さを要求することはありません。逆に、PDCAサイクルによる継続的改善は必須事項として要求しています。
まとめ
今回は、ISMSにおけるPDCAサイクルについて解説してきました。ISO27001やPマークにおいて、PDCAサイクルによる継続的改善は最重要項目です。こういった概念をしっかりと理解した上で要求事項を読み解くことで、有効なマネジメントシステムの構築を心がけましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい