ISMSのマネジメントレビュー
マネジメントレビューとは、組織が実行した内部監査の結果や利害関係者からのフィードバックをもとに、組織のISMSが適切に運用されているかどうか、経営陣が判断する活動のことで、少なくとも年に1回定期的に実施しなければなりません。そして、不具合のある箇所については早急に改善策を実行するとともに、将来起こりうる不具合を予知して予防処置を実施します。
見直しにあたっては、ISMSの運用についての情報を情報セキュリティ責任者が経営者に伝えておく必要があります。情報としては、内部監査の結果、利害関係者からのフィードバック、有効性改善のために利用できる技術・製品・手順、不適合及び再発防止策・予防策の結果などが該当します。
経営陣が全ての事項について自分自身でレビューを行うことは困難なので、担当部門を定めて実施させることが現実的です。レビュー結果は、担当役員が内容をチェックするとともに、不十分なものがあれば、再調査や追加調査を指示して確かめるといった対応が必要となります。
なお、マネジメントレビューは文書化が要求されており、実施時期などを記載した「計画書」、実施内容・方法、担当者、結果、ISMSの変更が必要な項目を記載した「結果報告書」、実施過程で収集した文書、資料などの「裏づけ資料」の3点を保管しておかなければなりません。