マネジメントレビューとは、今まで取り組んできたISMSの活動をトップマネジメントに報告し、トップマネジメントからレビューを受ける活動です。
この記事では、以下のトピックについて説明しています。
JIS Q 27001 対応箇所
本文 9.3
マネジメントレビューに必要な「インプット」と「アウトプット」
マネジメントレビューの取り組みでは、インプット と アウトプット という言葉をよく使うことがあります。インプットとは、ISMS責任者からトップマネジメントに対して報告する内容のこと、アウトプットとは、トップマネジメントからISMS責任者に対して提案や指示する内容のことを言います。
インプットに必要な項目としては、以下が挙げられます。
- 前回のマネジメントレビューの結果とった処置(初回のマネジメントレビューの場合を除く)
-
組織の課題や利害関係者のニーズ及び期待の変化(利害関係者からのフィードバックを含む)
- リスクアセスメントの結果
- リスク対応の進み具合
- 監視・測定の結果の分析・評価(目標の達成状況を含む)
- 内部監査の結果(不適合・是正処置の状況を含む)
- その他、ISMSを継続的に改善していくために報告しておくべき事項(あれば)
また、アウトプットに必要な項目としては、以下が挙げられます。
- ISMSを継続的に改善するための提案
- ISMSに対する変更の提案
マネジメントレビューは、この「インプット」を「アウトプット」に変換する取り組みだと考える事もできます。
マネジメントレビューの流れ
上述した通り、マネジメントレビューとは、トップマネジメントにインプット項目を説明し、アウトプット項目を引き出す取り組みです。事前にインプット項目を取りまとめ、トップマネジメントに報告を行い、アウトプットを引き出しましょう。
具体的な流れについては、マネジメントレビューの進め方 を参考にしてください。