マネジメントレビューの具体的な進め方を紹介します。
参考記事:
(Pマーク用のマニュアルはこちらをご覧ください)
1. インプットを取りまとめる
まずは、トップに報告するインプットを取りまとめましょう。インプットで報告する必要がある内容はあらかじめ決まっています。SecureNaviに記載された内容を参考に、報告の準備を行いましょう。
2. トップマネジメントに報告する
準備ができたら、トップマネジメントに対して、ISMS活動の報告を行います。一般的には、ISMS責任者が報告を行うことが多いです。
報告にかける時間は、組織によってバラバラです。日々のISMS活動にトップマネジメントが入り込んでいるようであれば、数分〜数十分で終わることもあれば、今までの取り組みをトップマネジメントがあまりご存じない場合は、数時間をかけて報告することもあります。
3. トップマネジメントからのアウトプットを記録する
報告を聞いたトップマネジメントは、報告内容をもとに、ISMS責任者に対して、これからのISMS活動に対する期待を伝えたり、提案や指示を行います。アウトプットはインプットと違い、明確な内容は決まっていませんが、今後のISMSを改善していくためにどうしていくべきなのか、明日からISMSの活動をどのように変化させていくのか、トップマネジメントも主体的に考える必要があります。
最終的なアウトプットは、SecureNaviに記録し、マネジメントレビューの取り組みは終わりになります。
繰り返しになりますが、アウトプットの内容には、明確な決まりがあるわけではありません。規格でも「ISMSを改善するための機会や、ISMSに関する何らかの変更を行う必要があるかについて決定する」という、非常にぼんやりとした表現になっています。
そのため組織によっては、アウトプットが「これからのISMS運用も、引き続きよろしく(私からは特にコメントはないです)」といった、曖昧であまり意味のない表現に終始してしまうことがあります。せっかくのトップマネジメントとの対話の機会ですので、明日からのISMSをより効果的なものにできるよう、トップマネジメントの考えや思いを聞いておきたいものです。
そのためには、例えばISMS責任者は、トップマネジメントに対して以下のような質問をしてみるのはいかがでしょうか?
- ISMSは、経営上どのようなことに役立ってますか?
- 今、トップマネジメントとして気になっている、情報セキュリティのリスクはありますか?
- 今、ISMSの運用状況に関する、率直な感想はありますか?
- 今後、情報セキュリティに関する資源や、予算の割り当ては、どの程度を想定していますか?
- 今後、事業変化の見込みはありますか?情報セキュリティのリスクに影響はありますか?
できるだけ多く、トップマネジメントの情報セキュリティやISMSに対する思いを聞き出し、今後のISMS運用に活かしていけるように心がけましょう。