セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

ISO『9.パフォーマンス評価』ISO27001　規格解説

【要求事項解説】

「パフォーマンス評価（performance evaluation）」は、PDCAモデルサイクルのうち、監視及びレビュー（Check）にあたります。導入及び運用（Do）が確立（Plan）に沿っているのかどうかを確認するプロセスです。以下の3つの項目が定められています。

9.1監視、測定、分析及び評価

9.2内部監査

9.3マネジメントレビュー

9.1では情報セキュリティマネジメントシステムの有効性を評価し、監視及び測定対象とする情報セキュリティプロセス及び管理策を決定し、その監視、測定、分析及び評価方法を決定することが定められています。パフォーマンスとは「測定可能な結果」、パフォーマンス評価とは「測定できる結果を確定するプロセス」を指します。パフォーマンスの監視・測定により、好ましくない傾向や結果が見て取れた時は、それによる不適合が発生する前に処置をとることが求められています。

9.2内部監査では監査基準に照らして、ISMSの取組み状況を確認し、適合しているか否かを客観的に評価することが要求されます。また内部監査の手順を含む監査プログラムについて文書化が要求されています。具体的には、内部監査の計画、実施、報告、フオローアップのー連の流れと、関連する記録の保持について文書化することが要求されています。ISMSの取組みは多岐に渡り、―度の内部監査ですべての取組みを検討・評価することは困難です。そのため、リスクアセスメントの結果、選択した管理策、及び前回までの監査結果を考盧し、目標、範囲、実施時期及び資源配分等を検討し、監査プログラムを立案する必要があります。

9.3マネジメントレビューとは、トップマネジメントがISMSの全体の取組みを定期的に確認し、構築・維持されているISMSを改善する必要があるかを判断するプロセスです。ISMSの年間の取組み計画に開催時期を盛り込むなどし、マネジメントレビューは定期的に開催する必要があります。マネジメントレビューによって、ISMSの改善及び変更の必要性が確認されますので、レビューによって、どのような改善、変更が必要となるかがアウトプットとなります。なお、決定された内容については、実施責任者、実施期限、優先順位等を明確にし、計画的に対応していくことが望まれます。