要求事項とPDCA

実際の要求事項をPDCAサイクルに落とし込んでみましょう。

Plan（計画）に関する要求事項

＜ISMSの確立＞
・ISMSの適用範囲
・ISMSの基本方針
・リスクアセスメント

＜文書化に関する要求事項＞
・文書の範囲
・文書管理
・記録の管理

＜経営陣の責任＞
・経営陣のコミットメント
・経営資源の運用管理
・経営資源の提供
・教育、訓練、意識向上及び力量

Do（実行）

＜ISMSの導入及び運用＞
・リスク対応計画の策定と実施
・管理策の実施と管理策の有効性測定手法の決定
・教育、訓練及び意識向上のためのプログラムの実施
・ISMSの運用管理
・経営資源の管理
・セキュリティ事象の検知とセキュリティインシデントへの対応

＜附属書A＞

Check（確認）に関する要求事項

＜ISMSの監視及びレビュー＞
・監視及び見直しのための手順並びにその他の管理策の実施
・ISMSの定期的な見直し
・管理策の有効性の測定
・リスクアセスメントのレビュー
・セキュリティ計画の更新
・記録の管理

＜内部監査の実施＞
＜ISMSのマネジメントレビュー＞

Act（見直し）に関する要求事項

＜ISMSの維持及び改善＞
・特定した改善策の実施
・講じた処置の伝達
・改善策の確実な達成

＜ISMSの改善＞
・継続的改善
・是正処置
・予防処置

※JIS Q 27001より一部抜粋