ISMSにおけるマネジメントレビューとは?進め方について
ここでは、ISMSのマネジメントレビューの基本であるインプットとアウトプットや、必要な手順などについて解説しています。
マネジメントレビューとは
マネジメントレビューとは、定期的に実施される「運用報告」のように考えるとわかりやすいでしょう。目的は、組織のISMS運用を継続的により良いものに改善していくことです。
具体的には、内部監査の結果や利害関係者からのフィードバックをもとに、組織のISMS運用が適切に運用されているかどうかを経営陣が見直す活動を指します。少なくとも年に1回定期的に実施する必要があり、改善のための施策を推進する際には重要な役割を果たします。
マネジメントレビューのメリット
組織や企業のISMSが適切に運用されているかどうかを経営層が評価する活動「マネジメントレビュー」。レビューを行うことでどのようなメリットが得られるのか4つのポイントについてまとめています。
組織が抱えるリスク・課題の共有
マネジメントレビューでは、組織や企業のマネジメント体制を振り返り問題点などを分析し、必要があればその結果に対して改善を図ることが求められます。そこで重要になるのがリスクや課題の共有です。決定権のある経営層にリスクや課題を共有することで、体制やシステムの改善を図り、事業環境の健全化に繋げられます。
経営判断の要素になる
マネジメントレビューはによって、経営層は現時点のマネジメント体制をまとめたインプット情報を元に、適切な経営判断を行えきます。また、マネジメントレビューは情報セキュリティに関する内容だけでなく、目標の達成状況やリスク評価などを定期的に確認し、有効性を評価します。その結果を参考にして組織や企業の情報セキュリティ戦略や方針を決定し、適切な対策を実施するための基盤にもなります。適切な経営判断を下すためにもマネジメントレビューは欠かせない要素と言えるのです。
マネジメントシステムの質を保てる
規格に基づき一定期間の実績を振り返り、改善を行うためのマネジメントレビューはマネジメントシステムの質を保つために有効な経営管理活動になります。マネジメントレビューそのものがマネジメントシステムの適切な運用について、問題点や成果などを見直すための仕組みです。問題点や目標としていた成果とのギャップを把握することで、対処法を考えられ正常なマネジメントに繋げられます。
マネジメントレビューの実施時期・タイミング
マネジメントレビューの実施は、組織や企業の状況に応じて決めるのが一般的です。タイミングについては、年間の目標や計画を策定し、実績を評価するには通期で見る必要があることから、年1回の実施が一般的です。また、半期で目標や計画を設定している場合は、半期毎に実施するとよいでしょう。
しかし、技術の進歩に伴う新しいリスクや顧客や取引先からの新たなセキュリティ要求など、環境は常に変化しているため、年1回のマネジメントレビューでは改善の機会を逃す可能性もゼロではありません。そのような事態にならないよう必要に応じてレビューを実施し、次のPDCAサイクルに向けてトップマネジメントが改善を指示することが望ましいでしょう。
マネジメントレビューに必要なインプットとアウトプット
マネジメントレビューで使われるインプットとアウトプットとは、どのような事なのでしょうか。それぞれの概要とともに知っておくべきことについて、必要事項をまとめました。
インプット
トップマネジメントが効果のある対応や提案を実行するためには、インプットという工程がとても重要です。例えば「セキュリティに関する予算の割り当ては、どの程度の金額を想定しているのか」など、実際のISMS運用に活かしていけるような具体的な質問を心がけます。また、要求事項にあわせたチェックシートなども活用し、どのような情報を集める必要があるのかを明確にしておきます。
マネジメントレビューは、トップマネジメントにインプットの内容を報告し、アウトプットの提案や指示を引き出すための取り組みです。事前に問題点を明確化しておき、それに応じたインプットとアウトプットを意識して臨みましょう。
アウトプット
マネジメントレビューに対しての結論が「アウトプット」です。インプットされた事項はアウトプットする必要があり、報告された問題点を改善していくためにどうすべきなのか、トップマネジメントは主体的に考える必要があります。さらに、マネジメントレビューで明らかになった情報セキュリティへのリスク対応も、トップマネジメントが、その改善策や方向性を示さなければなりません。
マネジメントレビューの流れ
マネジメントレビューの重要性はわかっているが、どう取り組めばよいのかわからないという組織も少なくありません。しかし、マネジメントレビューには基準となる国際規格があり、基本的な流れがあります。組織によって細かな点は異なると思いますが、ここではその基本的な流れに沿って紹介していきます。
1.インプットを整理する
はじめに、トップマネジメントに報告するインプット情報を整理します。インプットで報告する内容は、あらかじめ決まっているので、規格に記載された内容を参考にしながら準備を行います。また、マネジメントシステムの有効性を評価することも求められているため、目標に対する達成状況を、未達成となっていればどのように見直しを行う必要があるかについてもインプットします。
2.トップマネジメントに報告する
情報を整理できたら、トップマネジメントに対して報告を行います。一般的には、ISMS責任者が報告を行うことが多く、報告にかかる時間は数分〜数時間と、組織の事情によって異なります。
3.トップマネジメントからのアウトプットを記録する
トップマネジメントはインプット情報を受けて、現システムの実態と問題点を把握し、改善処置を決定し、ISMS責任者に対してアウトプットします。アウトプットには明確な決まりはありませんが、改善するためにどうすべきなのか、活動をどう変化させていくのか、トップマネジメントも主体的に考え指示を行う必要があります。
また、記録が必要になるため、インプットとアウトプット項目をとりまとめて記録を作成し、トップマネジメントの決定を組織内に示します。
マネジメントレビューで注意するべき点
組織や企業が実施してきたマネジメントについて、振り返りを行い分析することで有効な改善策の策定につながるマネジメントレビューには、妥当性や正確さが求められます。ここではマネジメントレビューで注意するべき点について、2つのポイントに絞ってまとめています。
実施の目的を明確にする
マネジメントレビューの目的は、現状の課題を洗い出し、組織や企業のマネジメントシステムを継続的により良いものに改善していくことです。ただ報告するだけという形骸化を防ぐためにも注意すべき点は、マネジメントレビューを何のために行うのかの明確化が重要です。
チェックシートを活用する
マネジメントレビューの目的が明確になっていれば、より正確なインプットのために、要求事項にあわせたチェックシートの活用がおすすめです。チェックリストを用いることで経営層がインプットだけでなく、アウトプットもやりやすくなるため、どのような情報を集める必要があるのかをリストにしておきましょう。
まとめ
マネジメントレビューは、トップマネジメントにとって重要であり、積極的にかかわることが大切です。また、年に1回とにかくやっておけばよいということではなく、日常的に行われてこそ効果的なものです。
マネジメントレビューには標準化された国際規格もあり、それをきちんと理解することで組織としての信用も得られます。そして、しっかりとした改善を実行できれば、つねに改善を目指す組織体制の構築にもつながります。
自社内のノウハウやスキルでは、マネジメントレビューに関してどのように対応するべきなのか確立が難しい場合にはプロのサポートを仰ぐのも一つの手です。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。