箇条10では,不適合が発生した場合の処置と,ISMSの適切性,妥当性および有効性を継続的に改善することを要求しています。
この記事では,「10.2 継続的改善」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「10.2 継続的改善」では,箇条4から箇条10までのISMSのPDCAサイクルを継続し,組織がISMSを継続的に改善していくことを要求しています。
10.2 継続的改善
組織は,ISMSの適切性,妥当性及び有効性を継続的に改善しなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
引き続きPDCAサイクルを回して,継続的に改善していくんですね!
ISMSは構築したら終わりではなく,次のPDCAサイクルのスタートでもあるんだよ。PDCAサイクルを回してスパイラルアップしよう!
ISMSの継続的改善
継続的改善と,継続的改善に関連する用語について,ISO/IEC 27000:2013(JIS Q 27000:2014)では,次のように定義しています。
2.15 継続的改善(continual improvement)
パフォーマンス(2.59)を向上するために繰り返し行われる活動。2.59 パフォーマンス(performance)
測定可能な結果
注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。
注記2 パフォーマンスは,活動,プロセス(2.61),製品(サービスを含む。),システム,または組織(2.57)の運営管理に関連し得る。2.24 有効性(effectiveness)
ISO/IEC 27000:2013(JIS Q 27000:2014)
計画した活動を実行し,計画した結果を達成した程度。
規格は,箇条4の「4.1 組織及びその状況の理解」から箇条10の「10.1 不適合及び是正処置」までの一連の要求事項を繰り返し実施し,次の3つの視点からISMSを適宜確認し,改善することを求めています。
- 適切性:情報セキュリティ方針及び情報セキュリティ目的に妥当しているか
- 妥当性:要求事項が満たされているか
- 有効性:計画した活動が実施され,計画した結果がどの程度達成されたか
構築・運用のポイント
継続的改善の「継続的(continual)」とは,”(間隔をおいて繰り返して長期に連続していく意味で)継続的な” とか ”断続的な” という意味合いです。
PDCAサイクルにおける各プロセスを運用し,ISMSにおける個々の活動を積み重ねることによって,継続的改善は可能となります。