ISMS構築の基本的枠組み
ISMSでは、下の図に示す手順でマネジメントシステムを構築することになります。中核となるのは、組織が持つ情報資産のリスクを分析し、そのリスクの大きさを測定するための一連のプロセス(リスクアセスメント)です。リスクアセスメントが適切に行われなければ、適切な管理目的及び管理策を選定し、それを実施することはできません。
構築したISMSは、組織に導入し、運用を始めます。そして、PDCAサイクルに従って、継続的な改善を行います。その中でも重要なポイントとなるのが、マネジメントレビューの実施及び改善策の実行です。マネジメントレビューとは、組織が実行した内部監査の結果や利害関係者からのフィードバックをもとに、組織のISMSが適切に運用されているかどうか、経営陣が判断する活動を指します。
そして不具合のある箇所については早急に是正処置を実行するとともに、将来起こりうる不具合を予知して予防処置を実施します。
以上の活動を通じて、ISMSの確立から運用、改善へと、情報セキュリティをマネジメントするシステムをPDCAサイクルに乗せることができます。