第3回 ISMSの進め方（運用と内部監査編）：いまさら聞けないISMS（1/2 ページ）

ISMS認証について、2013年の改訂内容を踏まえた流れを解説していきます。今回はリスクアセスメントへの対応を踏まえた運用と内部監査について紹介します。

[持田広志，ITmedia]

※編注：本稿で述べられたものは、執筆者の私見であり、執筆者が所属する法人の意見ではありません。

シリーズ記事

• 第1回 いま一度ISMSとは？　メリットとデメリット
• 第2回 ISMSの進め方（準備・計画〜実施編）

　前回は、ISMS認証を取得するまでの流れから、「方針・体制の準備・計画」から「アセスメント結果への対応」について紹介しました。今回は、これに続く（4）「運用」、（5）「内部監査の実施」、（6）「是正予防対応」について解説します。

ISMS認証を取得する流れ

1. 方針および体制の準備・計画
2. リスクアセスメントの実施
3. アセスメント結果への対応実施
4. 運用の開始
5. 内部監査の実施
6. 是正予防対応
7. 審査

4.運用の開始

　運用サイクルの一つとして、まず「教育・訓練」があります。そして、「運用の実施」「マネジメントレビュー」を行います。

その1.教育・訓練

　情報セキュリティに関する作業能力を明確にして維持するため、適切な教育・訓練を実施することが求められています。

　まずは、ISMSに関連する業務に携わる場合において、ISMSの管理部門、ISMSの認証取得範囲の部門、ISMS担当のマネジメント層などの担当ごとに、それぞれ必要な作業能力を明確にする必要があります。例えば、「情報セキュリティ部門での経験○年」といったものや、「社内テストに合格していること」などです。

　必要な作業能力を明確にしたら次に、それぞれが必要な作業能力を維持できるように、教育訓練の計画を立案し、実施します。ISMSのために、新たに教育体系を構築するのではなく、現状で実施している教育・研修体系やリソースを利用してISMSに関する事項を盛り込むことができると、効率的に教育を実施できます。

　さらに、教育を実施するだけでなく、その記録を取り、効果を測定する必要があります。よく見られる方法としては、ISMSに関するeラーニングや集合研修を実施し、その最後に確認テストを行う方法です。こうすると、確認テストに全員が合格することで効果を測定でき、また、その結果を受講履歴として残すことで、研修実施の記録にもなります。

その2.運用の実施

　教育を実施し、担当者が必要な能力を身につけた後、ISMSの運用を実施します。リスクアセスメントの結果への対応と、情報管理台帳に記載した管理方法に従って情報を管理します。

その3.マネジメントレビュー

　実際にISMSを運用した結果について、マネジメント層が定期的に見直すことをマネジメントレビューと言います。頻度は基本的に年1回の実施（認証基準上ではあらかじめ定めた間隔とあります）です。

　マネジメントレビューの結果については、証拠として文書化して保持することが求められています。会議体などで報告した場合は議事録を作成して、書面での報告であれば報告書面にマネジメントの確認印を押印して保管するなどして記録を残します。マネジメントレビューにあたっては、ISMSの運用について以下のような各種情報をマネジメント層に伝えておくことが必要です。

• 前回までのマネジメントレビューの結果とった処置の状況
• ISMS に関連する外部及び内部の課題の変化
• 「不適合及び是正処置」「監視及び測定の結果」「監査結果」「情報セキュリティ目的の達成」での傾向を含めた情報セキュリティパフォーマンスに関するフィードバック
• 利害関係者からのフィードバック
• リスクアセスメントの結果及びリスク対応計画の状況
• 継続的改善の機会