ISMS(ISO27001)のパフォーマンス評価とは?
ISMS(ISO27001)の有効性を高めるために、欠かせないのがパフォーマンス評価です。ISMSの維持・改善を行うために、組織にあわせたパフォーマンス評価の方法を計画し、実行する必要があります。
ISMS(ISO27001)のパフォーマンス評価の概要
ISMS(ISO27001)は認証を取得してしまえば完了するものではありません。「Plan(計画)→Do(実行)→Check(評価)→Action(改善)」のサイクルを繰り返し行うことで、継続的に改善していくことが求められます。
ISMS(ISO27001)のPDCAサイクルにおいて、Check(評価)のプロセスに当たるのが、「パフォーマンス評価」です。パフォーマンス評価はISO27001の維持・改善において欠かすことのできない重要なポイントとなります。
ISMS(ISO27001)のパフォーマンス評価の3つの項目
ISMS(ISO27001)のパフォーマンス評価では、要求事項として以下の3つが定められています。
監視・測定・分析及び評価
ISMS(ISO27001)のパフォーマンス評価では、マネジメントシステムの有効性を評価するために、監視・測定・分析のプロセスや管理策を決定することが求められます。
これは、結果を生み出すための具体的な方法を明確にするとともに、いつ・どこで・誰が測定の分析・評価を行うのかといったことを定めることで、適切な管理体制を構築するための決まりです。
たとえば情報セキュリティ上好ましくない傾向が見つかったとき、実際に問題が発生する前の予防措置を行えるようになります。また、たとえ担当者が変わったとしても同じ結果が出せるようにすることで、人的ミスを防ぐためにも重要です。
内部監査
内部監査とは、ISMS(ISO27001)の取り組み状況をチェックすることです。まずは自社の運用状況に合わせて、いつ、どのような内容を検討・判断するのかといった監査プログラムを立案することが求められます。
JIS Q 27001では、内部監査における監査基準や監査範囲、実施内容とその結果、そして結果への対策などの情報を文書化し、保持することも求められるため、実現可能なプログラムを作成して実行し、その内容を記録しておかなければなりません。
マネジメントレビュー
マネジメントレビューは、経営者などのトップマネジメントがISMS(ISO27001)の取り組み状況を確認できるよう、定期的に行われます。前回のマネジメントレビューで挙げられた課題への対応状況や新たな課題の有無、パフォーマンス評価といった観点から、ISMSが有効に運用され、維持されているかどうかをアウトプットし、改善の必要性を洗い出す重要なプロセスです。
パフォーマンスを評価するには?
ISMSのパフォーマンス評価は、ISO27001の維持・改善において欠かすことのできないプロセスです。しかし、ISMSは複雑な仕組みになるため、一度にすべてのパフォーマンス評価を行うのは時間的・人員的に難しいというケースもあるでしょう。
その場合、組織にとって優先的に行うべきことは何か、どのような方法で行うことが最も効率的かを考えなければいけません。このようにパフォーマンス評価をする方法は組織の規模や業種によっても異なるため、的確な運用をしていくことがポイントになります。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。