セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

ISO『4.4情報セキュリティマネジメントシステム』規格解説

この要求事項は、組織が、規格（ISO/IEC27001：2013年版）に従って、情報セキュリティマネジメントシステムを確立し、実施し、維持し、かつ継続的に改善を実施することが定められています。

【要求事項解説】
情報セキュリティマネジメントシステムの適用範囲でISMSのPDCAサイクルを回さなければなりません。

①Plan：事業継続の方針、目的、目標、管理策、プロセス及び手順を確立する。
②Do：方針、管理策、プロセス及び手順を導入し、運用する。
③Check：方針及び目的に照らしてパフォーマンスを監視及び、レビューし、その結果を経営者に報告してレビューに付し、是正及び改善の処置を決定する。
④Act：マネジメントレビューの結果に基づいた是正処置をとり、ISMSの適用範囲、方針及び目的を再評価することによって、維持し、改善する。

4の組織の状況では、全体的に、ISMSを通してどのような成果を出したいのか、それに影響する組織を取り巻く状況及び組織内の状況を明らかにし、「4.2利害関係者のニーズ及び期待の理解」を通じて、利害関係者及び法令及び規制からの期待や要求事項を把握します。その上で「4.3マネジメントシステムの適用範囲の決定」を通じて、ISMSの適用範囲を決定することになります。「4.4情報セキュリティマネジメントシステム」では、4.1～4.3で決定した適用範囲でISMSのPDCAを回すことが求められています。