ISMSにおける継続的改善の機会とは?
この記事では、そもそも継続的改善の機会がどのようなものなのかについてまとめています。
継続的改善の機会とは
ISMSは、一度構築したら完成というものではなく、PDCAサイクルを回しながら改善していくことが求められます。継続的改善の機会は、ISMS(情報セキュリティマネジメントシステム)において、組織のセキュリティ管理体制をより強固にし、全体のパフォーマンスを高めるための仕組みを指します。
継続的改善の内容とは
継続的改善とは、ISMSの特徴ともいえる考え方のひとつです。目標を達成するために組織を適切に管理するための仕組みであり、評価と見直し、そして改善を行うことが常に求められます。例えば、クラウドサービスを活用し、サーバーなどのコスト削減を実現、経営効率を向上させた、なども継続的改善にあたります。
負担に感じる事もあるかもしれませんが、審査で指摘された継続的改善の内容を自社に取り入れることでより強固な情報セキュリティ対策に繋がり、情報流出などによる企業ダメージの対策となります。
改善の機会はどのように記述すれば良いのか
改善を実施したら、その施策の効果の報告を行います。記述のポイントは理解しやすい内容にすることです。
例えば、ソフトウェア開発の工程を効率化するという計画を行い、標準化を実行していたとします。しかし内部監査の結果、標準化だけでは足りないのではないかということに内部監査員が気づいたとします。
その場合には下記のように記述するとよいでしょう。
- 工程を効率化する計画通りに標準化を実行しているが、改善が必要と判断した。
- 標準化だけでは足りないので改善した方が望ましいと判断した。
- 内部監査員による気づきとして、以下の例のように改善の機会を記述します。
- 工程通りに業務を行なっているが、目標を達成するために工程を改善する
- 開発工程の効率化に取り組んでいるが、標準化だけでは足りないので見直しを行なうべきである。
まとめ
正しく理解していれば問題はありませんが、負担を強いられていると感じている担当者の方も多いようです。しかし、改善の機会は内部監査員による提案のようなものです。指摘を全て修正する必要はありませんが、指摘をもらえなければ改善の機会を得たと捉えることもできるでしょう。
常に情報セキュリティに対する改善を行いつつも、指摘をうけた場合には柔軟に捉えて改善に繋げていきましょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。