ISMSについて説明する際、まず、「ISMSはPDCAサイクルに則って運用します」ということをお話しします。
ISMSに興味を抱いて調べたことのある方の中には、なんとなく聞いたことあるという方もいるのではないでしょうか。
ただ、PDCAサイクルに則って運用するといわれても、具体的にどういうことをしていくのかイメージが付きにくいと思います。
そこで今回は、ISMSの取り組みにおけるPDCAそれぞれの活動についてご紹介します。
PDCAについて
そもそもPDCAとは?
PDCAとは業務や品質の効率化・継続的改善を目的とした方法論のことで、この方法論に基づきPDCAサイクルというものを継続的に回していくことになります。
ちなみにPDCAとは「Plan(計画)」「Do(実行)」「Check(評価)」「Act(改善)」の4つの取り組みの頭文字をとった略称です。
もう少しPDCAについて紹介したいと思います。
Plan(計画) | 問題の整理や現状の把握から、目標設定、目標達成のための計画策定 |
---|---|
Do(実行) | 計画を基に実際の運用、業務を行う |
Check(評価) | 計画が実際に行われて、有効的に働いているか評価する |
Act(改善) | 評価結果から、改善点を新たに計画に組み込み実行する |
ISMSとPDCAの関係性
そもそもISMSにPDCAの考え方が組み込まれている理由としては、ISMSの土台でもあるISO/IEC 27001をはじめとしたISO規格は、HLSという共有のルールで構成が定義されており、そのHLSの構成がPDCAに沿った形になっているということがあります。
つまり、ISMSがPDCAに沿っているというよりもは、その土台のISO規格が基本的にPDCAサイクルに沿った構成となっており、ISMSもあくまでその構成に則っているということになります。
ISMSにおけるPDCAの取り組み
前章では、PDCAがどのようなものか簡単に説明しました。
本章では、PDCAをISMSの考え方に組み込むとどのような取り組みになるのか簡単に説明したいと思います。
Plan(計画)
Pではまず、「組織の現状を知る」「方針や目的を決める」「ルールを制定する」などを行います。
組織の現状を知る部分では、組織が置かれている課題や求められている事、ISMSによってどのような情報を守っていくべきなのか、どのようなリスクに対応する必要があるのかといったことを洗い出します。
その上で、課題や組織の現状から、何のためにISMSに取り組むのか方針や目的を明確にします。
そして、守るべきものやリスクなどから、具体的にどのようなルールを作って運用していく必要があるのか明確にします。
成果物としては、例えば情報資産管理台帳やマニュアル類、情報セキュリティ方針などが挙げられます。
Do(実行)
Dでは、「作ったルールを展開し運用する」「従業者の教育を実施する」といったことを行います。
基本は、「実行」という通り、仕組みを運用する段階だとイメージしてもらえるといいでしょう。
その上で具体的な取り組みとして、従業者のリテラシーを上げるための教育などが実施されます。
成果物としては、委託先の管理台帳や教育実施の結果などが挙げられます。
Check(評価)
作ったルールや仕組みは守られていなければ効果がなく、また、守られていたとしても、はじめから組織にとって有効なものとは限りません。
そこでCでは、実際にルールを従業者が守っているのか、また、組織にとって有効に働いているのかということを評価します。
具体的には、内部監査や、あらかじめ指標を立てての効果測定などを行います。
成果物としては、内部監査の計画書や報告書、代表に取り組みの総括を報告するための記録(マネジメントレビュー記録)などが挙げられます。
Act(改善)
もしCの段階で、改善すべき点が見つかれば、何らかの対応を行うことが望ましいです。
Aの段階では、運用中に見えた課題や、Cの段階で受けた指摘などを基に、組織の仕組み・ルールをよりブラッシュアップさせていきます。
そして、ブラッシュアップさせた仕組みをまた運用していく形で、新たなPDCAに突入していきます。
成果物としては、指摘事項や対応方針、是正処置の計画をまとめた記録などが挙げられます。
まとめ
今回はISMSの根底にある考え方「PDCA」の取り組みについてご紹介しました。
ISMSがどのような形で進んでいくのか、何を行っていくのかイメージする一助となれば幸いです。
また、弊社では、無理せず組織になじむ形でのISMSの構築・運用のご支援を行っておりますので、お気軽にお問合せ下さい。