PDCAサイクル

PDCAとはPlan（計画）・Do（実行）・Check（確認）・Act（見直し）の頭文字をつなげたものです。ISO/IEC27001はPDCAのフレームワークを持った情報セキュリティマネジメントシステム規格です。

ISMSの構築

ISO/IEC27001の序文では規格が規定する要求事項は汎用的ですべての組織に適用できることといった内容が書かれています。また、ISO/IEC27001が意図するISMSはそれぞれの組織のニーズと目的、セキュリティ全般への要求、採用プロセス、組織の規模や構造によって異なるとしています。したがって、ISO/IEC27001は組織の特性に応じたISMSを構築、運用することを意図しています。

ISMSでのPDCA

ISO/IEC27001はPDCAサイクルのフレームワークを持ったマネジメントシステム規格なのですが、具体的にどのようなことを指しているのでしょうか。

Plan（計画）：組織の全般方針、目的に従った結果を出すための、リスクマネジメントや情報セキュリティの改善に関連する、基本方針・目的・プロセス及び手順の確立

Do（実行）：ISMSの基本方針、管理策、プロセス及び手順の導入及び運用の実施

Check（確認）：ISMSの基本方針、目的及び実経験に照らし合わせたプロセスのパフォーマンスのアセスメントとそれらの結果のレビューをするための経営陣への報告

Act（見直し）：ISMSの継続的な改善をするための内部監査、マネジメントレビュー結果又は、関連情報に基づく是正処置及び予防処置を実施

上記の内容を実施していかなくてはいけません。