自社の情報セキュリティの状況や、実施しているセキュリティ対策、その他ISMSで定めた様々な事柄に対して、「監視・測定」という取り組みを行うことができます。ここでは、その「監視・測定」を行い、その結果を記録する方法を説明します。
この記事では、以下のトピックについて説明します。
JIS Q 27001 対応箇所
本文 9.1
監視・測定とはなにか
ISMSにおける監視・測定を考える前に、普段の業務における「業務目標」や「KPI」について考えてみましょう。
皆様の普段の業務において、各部門や個人に対して、業務目標やKPIが課されることもあるでしょう。これらの業務目標やKPIは、定めるだけではなく、定期的に達成できているかどうかの確認を実施します。
例えば、年間売上1,000万円という業務目標があったとするならば、毎月の定例会などで、今月の売上を確認するでしょう。
ISMSにおける「監視・測定」とは、普段の業務における「業務目標」や「KPI」だと考えることができます。先ほどの売上の例では、目標を策定したあとに、定期的に状況を確認していました。定期的な状況確認を行うことで、現在の問題点に気づき、業務の品質を向上させる事ができます。
ISMSの監視・測定も同じです。監視・測定項目を策定し、定期的に「監視・測定」を行い、必要に応じて改善活動を行うことで、情報セキュリティレベルを高めていく事が可能です。
監視・測定を実施する
監視・測定を実施するためには、まずは対象を決定する必要があります。対象を決定する方法の詳細は、監視・測定の対象を決めるを参照してください。また、監視・測定の対象を決めたあとは、各対象に対して監視・測定の実施頻度・実施者・スコアの基準を登録する必要があります。
対象が決まり、必要な情報が入力されれば、実際に監視・測定を行います。監視・測定を実施し、その結果を記録する方法については、監視・測定を実施するを確認してください。
分析・評価について
監視・測定した結果は、定期的に分析・評価を行うことが求められています。つまり、日々の状況を単に記録するだけではなく、それらの記録を定期的に振り返る必要があるということです。
SecureNaviでは、マネジメントレビューのタイミングで、ISMS責任者が、監視・測定の結果を「分析・評価」する仕組みになっています。マネジメントレビューの準備段階で、今までの監視・測定の結果を振り返り、さらにISMSを改善するためにはどのようなことができるのか考えておきましょう。