実施事項
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/08/10 02:32 UTC 版)
「情報セキュリティマネジメントシステム」の記事における「実施事項」の解説
ISMSを行う組織には以下が求められる: ISMSに関する方針を定め、要求事項を満たすことや継続的改善へのコミットメントを実証する。 リスクマネジメントなどISMSに関する計画を策定する。 必要な資源や力量を確保する。 策定した計画を運用する。 ISMSの実施に関するパフォーマンスと有効性を評価する。 不適合が発生した場合に是正措置を行い、ISMSを継続的に改善する。 これらを行うため、ISMSではプロセスアプローチという手法が取られる。プロセスアプローチでは経営活動をインプットをアウトプットに変換するプロセスとみなし、これらのプロセスをシステムとして組織に適応・管理する。 一方、2005年度版のISO/ETCでは強調されていたPDCAサイクルは2016年時点での最新版である2013年度版では大きく後退しており、ISMSの規格本体であるISO/IEC 27001:2013(JIS Q 27001:2014)にはPDCAに関する記述はない。ISO MSSの共通基盤を与える附属書 SLでも、既存のマネジメントシステム規格で様々なモデルが採用されているという理由でPDCAサイクルなど1つのモデルを採用する事を避けている。 ただし附属書 SL ではPDCA サイクルの概念を受け入れており、JIPDECもPDCAサイクルを採用する事でISMSのプロセスが整理されるとしている。
※この「実施事項」の解説は、「情報セキュリティマネジメントシステム」の解説の一部です。
「実施事項」を含む「情報セキュリティマネジメントシステム」の記事については、「情報セキュリティマネジメントシステム」の概要を参照ください。
- 実施事項のページへのリンク