マネジメントレビューとは？

マネジメントレビューとは、ISMSが有効に機能しているかをトップマネジメントが確認するために、ISMSの中心人物がトップマネジメントに対してISMSに関する取り組みを説明する場のことです。
また、レビューした結果として改善の指示等のアウトプットも文書化する必要があります。
※一般的には、組織の代表者がトップマネジメントを担うことが多いため、ここでは代表者＝トップマネジメントで話を進めます。

マネジメントレビューの実施方法

マネジメントレビューの実施方法としては、主に以下のような方法があります。

代表者とISMS事務局が時間を設けて一緒に実施する

ISMS事務局が説明用のスライドを用意して、代表者向けのプレゼンテーションを実施し、その後代表者から改善点を指摘してもらう等。

ISMS事務局が文書化した情報を作成し、代表者に見せる

代表者がなかなか時間を作れない場合には、ISMS事務局がたたき台を作成して、代表者に現状報告ならびに改善点の提案をする。代表者はそれを踏まえた上で、改善点・修正点の確認を行う。

代表者が変更になったらマネジメントレビューのやり直しが必要か？

結論から言うと、やり直しは必須ではありません。

ISO27001の要求事項では「…あらかじめ定めた間隔で…」との記載があります。
この「あらかじめ定めた間隔」が年に1回である場合、代表者が代わる前に1度実施しておけば、既に年1回を達成していることになりますので、やり直しをする必要はありません。

ただ、代表者が代わることにより、既に立てていた「方針」や「情報セキュリティ目的」などを変更する際には、再度ISMSの実施計画を立てて実施していく必要があるため、内部監査やマネジメントレビューも再度実施しなければなりません。
※審査日程の直前に代表者が変更になり、審査までに対応することが難しい場合、審査後の実施でも構いません。

マネジメントレビュー実施後に代表者が変更になった場合、審査までにしなければならないことは？

マネジメントレビュー実施後に代表者が変更になった場合、審査までにしなければならない事としては、以下の2つになります。

前代表者のマネジメントレビューアウトプットの確認

必ずしも修正する必要はありませんが、少しでも補足が必要だと感じたら対応しましょう。

トップインタビューに備えてマネジメントレビューの見直し

ISMS審査時には「トップインタビュー」といって代表者にISMSの取り組みについてのインタビューがあります。トップインタビュー時には、様々な事を聞かれますが、その中でマネジメントレビューで行った具体的な対応について質問される事もあります。そういった質問に回答できるよう、マネジメントレビューの内容をしっかり確認しておく必要があります。