前回の記事で、情報セキュリティ方針の『要求事項を満たすことへのコミットメント』を効果的に定める方法について言及しました。
今回は、いよいよ最終フェーズとして、『継続的に改善していくことへのコミットメント』について考えてみましょう。

現在への誓い、未来への誓い

『要求事項を満たすことへのコミットメント』は、『ISMSを策定する上で求められることになる基準・ハードルをクリアしています』という現在に対する誓いの意味合いが強くありました。
それに対して、今回のコミットメントは、『策定したISMSをより良いものにするための努力を絶えず行っていきます』という、言わば未来に対する誓いの意味合いが強いと言えるかもしれません。

内部監査の結果として確認された不適合への対応

一つ目のコミットメントは内部監査の結果に対するものです。
日々、情報セキュリティへの取り組みを行っていても、内部監査や日々の点検の結果として、規格の要求事項を満たすことができず、不適合が出る恐れは常に存在します。
そんな時に、発見された不備や改善項目について、決して放置せず、速やかに再発防止のための是正処置等を実施する旨を誓います。

パフォーマンス監視結果の分析

二つ目のコミットメントは、パフォーマンスを監視した結果に対するものです。
ここで言うパフォーマンスとは、『測定可能な結果』を意味します。
例えば点検事項などにおいて、定期的に会社の定めた基準をチェック・確認します。
その上で、チェック・確認するだけで終わらせず、基準における問題点の有無などを分析し、さらなる改善を図っていくことのコミットメントです。

企業の代表者による継続的な改善の誓約

そして最後のコミットメントは、マネジメントレビューや是正処置を踏まえて、企業の代表者が、自社のISMSを継続的に改善していく旨を誓約することです。
マネジメントレビューとは、内部監査の結果などを代表者に報告して、今後の方向性などを話し合う会議のことです。
会議の席においては、情報セキュリティにおける社内での活動報告、内部監査などで確認された不適合や、その不適合に対する是正処置などを報告します。
そして、そういった会議を通じ、より良い会社の仕組みを作り続ける旨を、企業の代表者が宣言します。
これは、単にISMSを取得することを目的にするだけでなく、絶えず情報セキュリティの取り組みを続けて、継続的に改善活動を行うよう求められていることを意味します。

以上で、情報セキュリティを構成する4つの要素を振り返りました。
これまでのポイントを踏まえて、自社の情報セキュリティを読み返してみると、また違った感想を抱けるのではないでしょうか。
より理解しやすい、より有効性のある情報セキュリティ方針を策定し、より意味のあるISMSを構築していきましょう。