情報セキュリティ管理:PDCAサイクル

最終更新日:2010年03月01日

情報セキュリティ管理:目次




(JIPDEC「ISMS適合性評価制度の概要」より)





PDCAのポイントは、次のとおり。


【全体】


1) 経営陣によるトップダウンでの活動であること


2) ISMS構築の目的を明確にすること


3) 適用範囲を明確にすること


4) マネジメントシステムはシンプルに、具体的な対策・手順は細かく決めること


※特にリスク評価では、最初から正確にリスクの大きさを評価することは困難なため、リスクの大きいものからセキュリティ対策を行うための評価とし、実績をリスク評価にフィードバックすること





【Plan】


1) その企業の事業目的を反映したセキュリティポリシーを策定すること


2) 場当たり的でなくリスク評価に基づく適切なプランであること


3) 技術的側面だけでなく、運用管理側面とのバランスをとること





【Do】


1) 役員含むすべての社員に対して、セキュリティポリシーが周知され、適切なセキュリティ教育が継続的に実施されること





【Check】


1) 実施状況を評価し、改善のための提言をフィードバックする仕組みがあること


2) 情報セキュリティ監査制度を活用するとよい





【Act】


1) ビジネス環境やセキュリティ動向の変化に、柔軟に対応できること


2) マネジメントレビューによる改善を重視すること

PDCAサイクルの内容に関連する記事

特別企画、サービス