ISMSの継続的改善
情報セキュリティの仕組みを構築し、役割・責任を決め、管理策を定め、実施すればISMSは完了するわけではなく、継続的な改善活動の実施によって、その有効性を向上させることが求められています。
継続的改善は、ISMS内部監査やマネジメントレビューの結果、そして組織内外の状況変化をふまえて実施します。したがって、継続的改善は、単独で実施するというものではなく、他の項目と関連付けて行い、ISMS全体として常に何らかの改善活動が行われていることが重要となります。そのためには、組織の事業計画などにおいて、内部監査、マネジメントレビューの実施時期との関係をふまえて改善計画を策定するとよいでしょう。
なお、組織ではISMSのほかに、ISO9001やISO14001の認証取得やプライバシーマークの使用許諾の認定を受けるなどの取り組みを行っています。ISMSの要求事項にはなっていませんが、実務的な対応として、これらのマネジメントシステムと関連付けた改善を行うとよいでしょう。