箇条9では,情報セキュリティパフォーマンスとISMSの有効性を評価することを要求しています。
この記事では,「9.3 マネジメントレビュー」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「9.3 マネジメントレビュー」では,適切,妥当かつ有効であることを確実にするために,ISMSをレビューすることを要求しています。
規格要求事項
9.3 マネジメントレビュー
トップマネジメントは,組織のISMSが,引き続き,適切,妥当かつ有効であることを確実にするために,あらかじめ定めた間隔で,ISMSをレビューしなければならない。
マネジメントレビューは,次の事項を考慮しなければならない。
a) 前回までのマネジメントレビューの結果とった処置の状況
b) ISMSに関連する外部及び内部の課題の変化
c) 次に示す傾向を含めた,情報セキュリティパフォーマンスに関するフィードバック
1) 不適合及び是正処置
2) 監視及び測定の結果
3) 監査結果
4) 情報セキュリティ目的の達成
d) 利害関係者からのフィードバック
e) リスクアセスメントの結果及びリスク対応計画の状況
f) 継続的改善の機会マネジメントレビューからのアウトプットには,継続的改善の機会,及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。
マネジメントレビューって何ですか?
マネジメントシステムの運用状況や成果,改善のための取り組み状況を定期的に評価することで,組織のマネジメントシステムが適切に機能しているかどうかを評価するための重要なプロセスなんだよ。
マネジメントレビューレビューへのインプット
規格では,トップマネジメントが,組織のISMSが意図した成果を上げているかを評価するために,あらかじめ定めた間隔(年1回以上)で,ISMSをレビューすることを求めています。
マネジメントレビューでは,トップマネジメントがISMSの成果を把握し,改善の機会の評価および情報セキュリティ目的の達成を含むISMSの変更の必要性に関する評価を実施し,マネジメントレビューの結果を文書化した情報として維持します。
規格は,マネジメントレビューへのインプット情報として,6つの事項を提示しています。
前回までのマネジメントレビューの結果とった処置の状況【9.3 a)】
トップマネジメントから指示された改善のための活動等について,進捗や結果を報告します。ISMS構築段階の初回のマネジメントレビューや前回のマネジメントレビューで指示がなかった場合は,報告事項はありません。
ISMSに関連する外部及び内部の課題の変化【9.3 b)】
事業領域の変化,組織変更,人事異動,サービスの変更,情報システムの変更,社会情勢の変化,国民の認識の変化,技術の進歩などの緒環境の変化,法改正など,組織を取り巻く課題の変化やその対応について報告します。
情報セキュリティパフォーマンスに関するフィードバック【9.3 c)】
次の各事項について,状況や結果,課題等について報告します。
1)不適合及び是正処置
不適合に対する是正処置や実施した予防処置の実施状況およびその効果
2)監視及び測定の結果
「9.1 監視,測定,分析及び評価」で実施した,情報セキュリティパフォーマンスとISMSの有効性の評価結果
3)監査結果
内部監査の結果のほか,顧客や取引先からの監査の結果や他のマネジメントシステム認証審査の監査結果
4)情報セキュリティ目的の達成
情報セキュリティ目的を達成するための計画および活動の実施状況をはじめ,目的の達成状況に関するフィードバック
利害関係者からのフィードバック【9.3 d)】
顧客や取引先をはじめとした利害関係者からの情報セキュリティに関する要請や要望,期待や指摘などについて,その内容や対応状況について報告します。
リスクアセスメントの結果及びリスク対応計画の状況【9.3 e)】
リスクアセスメントにより特定された新たなリスクや,リスク対応計画の進捗状況や実施結果について報告します。
継続的改善の機会【9.3 f)】
組織が構築・運用するISMSにおいて,常に改善の余地があることを捉え,その改善に取り組む機会について報告します。
マネジメントレビューからのアウトプット
トップマネジメントは,インプットされた情報に基づいて,継続的改善の機会とISMSのあらゆる変更の必要性に関する決定についてアウトプットします。
このアウトプットでは,現状のISMSをより効果的なものとするための改善を示す必要があります。
また,トップマネジメントは,マネジメントレビューによって必要と認識された,ISMSの改善のために必要となる経営資源の提供が確実であることを示す必要があり,この確約がなければ改善の実施は達成されないでしょう。
構築・運用のポイント
マネジメントレビューは,ISMS全体の取り組みについて定期的に確認し,構築・維持されたISMSの改善および変更の必要性について,トップマネジメントが俯瞰的視点から判断するプロセスです。
トップマネジメントは,あらかじめ定めた間隔でマネジメントレビューを実施し,その結果として次の事項について決定する必要があります。
- 継続的改善の機会
- 情報セキュリティマネジメントシステムのあらゆる変更の必要性
マネジメントレビューの実施時期
規格では,マネジメントレビューの実施を「あらかじめ定めた間隔」と要求していますが,実施の頻度や回数については細かく規定していません。
この「あらかじめ定めた間隔」は,一般的に,年1回以上と解釈されていますので,マネジメントレビューの実施は,事業年度内に1回で運用している組織も少なくありません。
しかし,技術の進歩に伴う新しいリスクやインシデントの発生,顧客や取引先からの新たなセキュリティ要求事項の要請など,組織の内部および外部の環境は常に変化しているため,年1回のマネジメントレビューでは,対応や改善の機会を逃してしまうかもしれません。
そのような事態にならないよう,情報セキュリティに関するイベント等が発生した場合には,毎月実施している経営会議や役員会議など,トップマネジメントが出席する定例の会議体の中でISMSに関連するイベントのタイミングに合わせて,その都度レビューを実施したうえで,活動を総括するマネジメントレビューを年1回実施し,次のPDCAサイクルに向けてトップマネジメントが改善を指示するとよいでしょう。
マネジメントレビューのインプットとアウトプット
マネジメントレビューは,組織のISMS全般についての状況をレビューし,継続的改善を推進するために実施するもので,ISMSの活動計画に沿って,箇条9.3a)~f)項をレビューのインプットとすることは前述したとおりですが,これら以外にも必要な事項があれば,インプットとして含めるべきでしょう。
一方で,レビューからのアウトプットについて規格要求事項は,「継続的改善の機会」と「ISMSのあらゆる変更の必要性に関する決定」を含めるように要求してますが,具体的な内容に触れていません。
このマネジメントレビューのインプットとアウトプットについては,ISO/IEC 27001:2005(JIS Q 27001:2006)を参考にするとよいでしょう。
7 ISMS のマネジメントレビュー
7.1 一般
経営陣は,組織のISMS が引き続き適切であり,妥当であり,かつ,有効であることを確実にするために,あらかじめ定めた間隔(少なくとも年1 回)で,ISMS をレビューしなければならない。このレビューでは,情報セキュリティの基本方針及び目的を含め,ISMS に対する改善の機会及び変更の必要性のアセスメントも行わなければならない。レビューの結果は,明確に文書化し,記録を維持しなければならない(4.3.3 参照)。7.2 レビューへのインプット
次の情報を,マネジメントレビューに対して提供しなければならない。
a) ISMS 監査及びレビューの結果
b) 利害関係者からのフィードバック
c) ISMS のパフォーマンス及び有効性を改善するために組織の中で利用可能な技術,製品又は手順
d) 予防処置及び是正処置の状況
e) 前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性又は脅威
f) 有効性測定の結果
g) 前回までのマネジメントレビューの結果に対するフォローアップ
h) ISMS に影響を及ぼす可能性がある,あらゆる変化
i) 改善のための提案7.3 レビューからのアウトプット
ISO/IEC 27001:2005(JIS Q 27001:2006)
マネジメントレビューからのアウトプットには,次に関係する決定及び処置を含めなければならない。
a) ISMS の有効性の改善
b) リスクアセスメント及びリスク対応計画の更新
c) ISMS に影響を与える可能性がある内外の事象に対応するために,必要に応じた,情報セキュリティ
を実現する手順及び管理策の修正。そのような事象には,次について起きた変化が含まれる。
1) 事業上の要求事項
2) セキュリティ要求事項
3) 現在の事業上の要求事項を実現する業務プロセス
4) 法令又は規制の要求事項
5) 契約上の義務
6) リスクのレベル及び/又はリスク受容基準
d) 必要となる経営資源
e) 管理策の有効性測定方法の改善
マネジメントレビュー結果の文書化
規格は,「マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない」として,文書化を要求しています。
マネジメントレビューを実施する際に,インプットとアウトプット事項を議題に含め,会議の議事録を文書化した情報として作成し,保存しておきましょう。