(JIPDEC「ISMS適合性評価制度の概要」より)
PDCAのポイントは、次のとおり。
【全体】
1) 経営陣によるトップダウンでの活動であること
2) ISMS構築の目的を明確にすること
3) 適用範囲を明確にすること
4) マネジメントシステムはシンプルに、具体的な対策・手順は細かく決めること
※特にリスク評価では、最初から正確にリスクの大きさを評価することは困難なため、リスクの大きいものからセキュリティ対策を行うための評価とし、実績をリスク評価にフィードバックすること
【Plan】
1) その企業の事業目的を反映したセキュリティポリシーを策定すること
2) 場当たり的でなくリスク評価に基づく適切なプランであること
3) 技術的側面だけでなく、運用管理側面とのバランスをとること
【Do】
1) 役員含むすべての社員に対して、セキュリティポリシーが周知され、適切なセキュリティ教育が継続的に実施されること
【Check】
1) 実施状況を評価し、改善のための提言をフィードバックする仕組みがあること
2) 情報セキュリティ監査制度を活用するとよい
【Act】
1) ビジネス環境やセキュリティ動向の変化に、柔軟に対応できること
2) マネジメントレビューによる改善を重視すること
