ISMSの予防処置
予防処置は、現状のISMSのままでは、不適合が起こる可能性がある場合に、事前に不適合の発生を予防するために対応を行うものです。まだ生じていない不適合について行われるものであるため、予防処置の必要性をどのようにして把握するかがポイントとなります。
実務的には他社で発生した事故事例を参考にしたり、ある業務や部門における是正処置を、他の業務や部門にも応用展開するなどの方法により実施している企業が多くなっています。企業に潜在している不適合を、根本的かつ構造的に解決するための予防処置として、情報システムの変更や追加、組織の変更、人事異動、教育制度の変更などがあります。
予防処置は、規格が要求する以下の事項を含んだ手順が、文章化されていなくてはなりません。
| 起こり得る不適合及びその原因の特定 |
| 不適合の発生を予防するための処置の必要性の評価 |
| 必要な予防処置の決定及び実施 |
| 取った処置の結果の記録 |
| とった予防処置のレビュー |
予防処置は、是正処置と違って、事前に処置を講じるので、一般的に対応コストが安くなります。また、情報セキュリティに関するインシデントが発生した場合でも、損害を最小限に抑えることができます。