経営者の方情報セキュリティマネジメントとPDCAサイクル

本文を印刷する

情報セキュリティマネジメントとPDCAサイクル

ISMSとPDCAサイクル

情報セキュリティでは、機密性、完全性、可用性に対する様々な脅威から守るべき情報資産を守ることが基本となります。そのために、人的、物理的、技術的、組織的な面から様々な対策を講じますが、当然、対策を行えば行うほどリソース(人、金、物)は必要です。誰しもできるだけ少ないリソースで最大の効果を上げたい、コストは最小限に抑えたいと考えるでしょう。

これらのニーズに現実的な対処をする情報セキュリティを体系的かつ系統立てて捉えたのが情報セキュリティマネジメントシステム( ISMS: Information Security Management System)です。ISMSとは、情報セキュリティを確保、維持するための、人的、物理的、技術的、組織的な対策を含む、経営者を頂点とした組織的な取組みのことです。

情報セキュリティマネジメントを効率よく行うための手法が、PDCA(Plan - Do -Check -Act の略)です。品質改善や環境マネジメントでよく知られた手法で、次のステップを繰り返します。

  1. Plan:問題を整理し、目標を立て、その目標を達成するための計画を立てます。
  2. Do:目標と計画をもとに、実際の業務を行います。
  3. Check:実施した業務が計画通り行われて、当初の目標を達成しているかを確認し、評価します。
  4. Act:評価結果をもとに、業務の改善を行います。

情報セキュリティ対策は一度行なったら終わりではありません。情報セキュリティ分野は、常に積極的に対策を行なっていないと、新たな脅威に対応できないという側面をもっているため、環境の変化に合わせて絶えず、見直しと改善が求められます。組織のセキュリティ対策における目標達成レベルを継続的に維持改善するためにPlan(計画)-Do(実施)-Check(点検・監査)-Act(見直し・改善)というPDCAサイクルを繰り返すのです。

PDCAサイクル

ISMSを確立するための計画段階にあたるのがPlan(計画)であり、その代表が情報セキュリティポリシー(情報セキュリティに関するその組織の考え方、対策や規約をまとめた文書)の策定です。リスクアセスメントを行って、自身の情報セキュリティにおける脅威と脆弱性とリスクを見極め、守るべき情報資産を何から守るのかを決定し、導入すべき対策(管理策)を取捨選択します。なお、計画段階で選択した対策の導入・運用が Do(実施)に、ISMSの監視及び見直しが Check (点検・監査)に、ISMSの維持及び改善が Act(見直し・改善)にあたります。

つまり、ISMSでは「情報セキュリティポリシーの意識付け」、「セキュリティ情報の収集と分析」、「実装した情報セキュリティ対策の日常的な監視」、「定期的な情報セキュリティ監査」「見直しと改善」というPDCAサイクルを繰り返すことになるのです。