導入され、運用されているセキュリティ対策が、自社のセキュリティレベルの維持向上のために有効か、漏れはないか、隠れた脆弱性が潜んでいないかなどについて、確認、評価する必要があります。
情報セキュリティ対策の評価には、「自己点検」「情報セキュリティ対策ベンチマーク」、「情報セキュリティ監査」などがあります。自社のセキュリティの取り組みについて、認証を受けたいという場合には、「ISMS適合性評価制度」による評価を受ける方法もあるでしょう。

評価の目的

評価の目的は、おおむね、以下の4点に集約されます。

1. 自社の情報セキュリティ対策の有効性や実施状況を確認
   自社のセキュリティレベル維持改善のため意図した通りに実行されているか
   対策の効果は上がっているか
   不足なところ、実情にあわないところは無いか
   
2. 自社の情報セキュリティ対策状況の外部への説明資料に活用
   取引先への説明
   製品やサービスの購入者への説明
   情報セキュリティ報告書へ記載情報（説明責任を果たす）
   
3. 外部委託先や子会社の情報セキュリティ対策状況の確認
   委託先や子会社の、情報セキュリティ対策状況を確認する
   
4. 購入製品等のセキュリティ実装状況の確認
   製品やサービスを購入する際に評価結果の提出を求める

セルフアセスメント（自己評価）と第三者評価

セキュリティ対策における自己評価は、企業や組織が、自組織の現状における対策の効果や完成度を確認するために自らが行う評価です。情報システム部門の責任者や担当者が、自ら導入した個々の管理策の効果や達成度を、チェックリストなどを使い、評価していきます。自らが行うため、手間、時間、費用が少なくて済み、手軽に行うことができます。チェックする項目、範囲に応じ、一週間毎、一ヶ月毎など日常的に行う場合や、年度計画を定め定期的に行う場合があります。

一方、第三者評価は、対策の導入や運用に関与していない、独立の立場の専門家による客観的評価です。独立の専門家に依頼しますので、実施には時間と手間と費用がかかります。事前準備にもかなりの時間を要します。そこで、実施時期を決め、予算化した上で、半年に1回とか1年に1回など、計画的に行います。

自己評価も第三者評価も、相互に補完する関係にあります。例えば、自己評価では、自分では気がつかないところに、重要な問題が隠れているかもしれません。また、取引先からは第三者評価が求められることがあります。しかし、全ての評価を「第三者評価」で行うのは、手間と時間と費用がかかりすぎて現実的ではありません。さらには、対策を行う上で、自主的、自発的に自己評価を行い、自らが気づいて改善するという行動は非常に大切です。「自己評価」と「第三者評価」は、いわば車の両輪のようなもので、それぞれの特徴に応じ、自社のセキュリティ対策の維持向上に役立つように、使い分ける必要があります。

評価におけるPDCA

導入された対策の実施結果を評価する行為は、情報セキュリティマネジメントのPDCAサイクルの、C（Check：点検）にあたります。PDCAサイクルには、現場レベルで日常的に回す小さなものもあれば、組織全体を対象として四半期から1年間隔で回す大きなものもあります。現場レベルの、評価は自己評価で、組織的、経営層レベルの評価は、第三者評価を主にする場合も多いようです。

なお、評価そのものにも、計画をたて、実施し、結果をまとめ、必要に応じて改善するという評価のPDCAがあります。日常的に現場レベルで行われる評価であれば、対象範囲は比較的狭く、たとえば、ある部門のみを対象とする場合、個人情報漏えい対策や、脆弱性対策に特化して行なう場合など様々です。その場合の評価結果の報告先は現場の上司になります。経営層レベルで行なわれる評価であれば、その対象範囲は広く、組織全体を視野に入れ、評価結果の報告先は経営陣となります。

セキュリティ評価はその種類も多く、目的や対象範囲も様々ですので、自組織の現状に即し、どのような評価が必要なのかを考慮し、目的、対象、時期、評価責任者などを明確にして、全体を見通した評価計画を立てることが重要になります。