ISMSはマネジメントシステムですので、やっと、「規格4.2.3 b」ISMSの有効性のレビューで、方針展開、目標管理がここで控えめに、そして分かりにくく登場しました。
規格での分かりやすさ、具体的な表現から言えば、EMS>QMS>ISMSでしょうか。ISMSはEMS、QMSと比べると性格が控えめな規格ですね。
「規格4.2.3 b」では,先の「ISMSにおける管理策の有効性評価」のブログで述べました二種類のISMSの有効性のレビューのもう一つが「ISMS基本方針及び目的を満たしていることのレビュー」です。
「情報セキュリティマネジメントシステム」に対する「用語及び定義」の注記では、「マネジメントシステムには、組織の構造、方針、計画作成活動、・・・が含まれる」とあります。
ISMSが有効かどうかを、「ISMS基本方針及び目的を満たしている」程度で評価することになりますので、この要求の意図は、方針展開、目的・目標管理として「なにを:KGI、どのレベルで:KPI)」を決めて、目的・目標の達成度合いをマネジメントの観点でレビューすることと考えられます。(規格4.2.3 b→7.1)
その場合の考慮事項として,「このレビューでは,セキュリティ監査の結果,インシデント,有効性測定の結果,提案,及びすべての利害関係者からのフィードバックを考慮する。」とあり,マネジメントレビューのインプットのいくつかと同様であることから,マネジメントレビューの前段階で、経営陣に確かな情報提供を行うことを期待しているのではないでしょうか。
「ISMS基本方針」はそれほど毎年変わることは少ないでしょうが、「ISMSの目的」の方は、あまり毎年同じというのも前期の達成度が悪かった、だから管理策を改定した、或いは教育・訓練で意識付けしたというのであれば、納得できますが、そうでなければ、「KGI」は同じでも、別の視点として「KPI」を変えてみるというのもよいと思います。
0 件のコメント:
コメントを投稿