9.1 監視、測定、分析及び評価
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 9.1 |
| 分類 | パフォーマンス評価 |
組織は、次の事項を決定しなければならない。
- a) 監視及び測定が必要な対象。これには、情報セキュリティプロセス及び管理策を含む。
- b) 該当する場合には、必ず、妥当な結果を確実にするための、監視、測定、分析及び評価の方法。選定した方法は、妥当と考えられる、比較可能で再現可能な結果を生み出すことが望ましい。
- c) 監視及び測定の実施時期
- d) 監視及び測定の実施者
- e) 監視及び測定の結果の、分析及び評価の時期
- f) 監視及び測定の結果の、分析及び評価の実施者
組織は、この結果の証拠として、文書化した情報を利用可能な状態にしなければならない。
組織は、情報セキュリティパフォーマンス及びISMSの有効性を評価しなければならない。
ISMSが意図した成果を達成しているか、情報セキュリティプロセス及び管理策が有効に機能しているかを客観的に把握し、継続的改善につなげるため。
当社における実施状況
Section titled “当社における実施状況”監視・測定の対象と方法
Section titled “監視・測定の対象と方法”当社では、以下の項目について監視・測定を実施している。
| 監視・測定対象 | 測定方法 | 実施時期 | 実施者 | 分析・評価時期 | 分析・評価者 |
|---|---|---|---|---|---|
| 情報セキュリティインシデント | YouTrackでのインシデント記録の集計 | 随時(発生時) | インシデント対応責任者 | 年1回(8月) | 情報セキュリティ責任者 |
| 情報セキュリティ教育の実施状況 | Slack反応・カレンダー記録の確認 | 入社時・年1回 | 教育責任者 | 年1回(8月) | 情報セキュリティ責任者 |
| アクセス権限の管理状況 | Microsoft Entra ID・Google Workspace監査ログ | 随時(イベント駆動) | システム管理者 | 年1回(8月) | 情報セキュリティ責任者 |
| リスクアセスメントの実施 | リスクアセスメント報告書 | 年1回(8月) | 情報セキュリティ責任者 | 年1回(8月) | 情報セキュリティ責任者 |
| 法令・規制要件の遵守状況 | 内部監査結果、外部指摘の有無 | 年1回(8月) | 監査・点検責任者 | 年1回(8月) | 情報セキュリティ責任者 |
| クラウドサービスのセキュリティ状況 | 各サービスのセキュリティ設定確認 | 随時(変更時) | システム管理者 | 年1回(8月) | 情報セキュリティ責任者 |
情報セキュリティ目的の達成状況
Section titled “情報セキュリティ目的の達成状況”6.2 情報セキュリティ目的及びそれを達成するための計画策定で設定した目的について、以下の指標で監視・測定を行う。
| 目的 | 測定指標 | 目標値 | 測定方法 |
|---|---|---|---|
| 情報セキュリティインシデントの防止 | 重大インシデント(レベル2以上)の発生件数 | 0件/年 | YouTrackインシデント記録の集計 |
| 情報セキュリティ教育の徹底 | 教育受講率 | 100% | Slack反応・カレンダー記録 |
| アクセス権限の適正管理 | 退職者アカウントの即時無効化率 | 100% | アカウント管理記録 |
| リスクアセスメントの実施 | 年次リスクアセスメント実施 | 1回/年 | リスクアセスメント報告書 |
| 法令・規制要件の遵守 | 法令違反・指摘事項 | 0件/年 | 内部監査結果 |
パフォーマンス測定の方法
Section titled “パフォーマンス測定の方法”パフォーマンス測定では、以下の2つの観点から評価を行う。
| 観点 | 説明 | 用途 |
|---|---|---|
| 実施度 | 計画した管理策に対してどの程度実施されたかを測定 | 管理策の実装・運用の妥当性チェック、不足点の特定 |
| 達成度 | 計画した管理策を実施した結果、情報セキュリティ目的がどの程度達成されたかを測定 | 管理策が目的を達成する能力を果たしたかの評価 |
分析及び評価
Section titled “分析及び評価”監視・測定の結果は、年1回のマネジメントレビュー(8月)において分析・評価を行う。分析・評価では以下の観点を確認する。
- 情報セキュリティ目的の達成状況
- 管理策の有効性
- 傾向分析(前年度との比較)
- 改善が必要な領域の特定
パフォーマンス評価の基準
Section titled “パフォーマンス評価の基準”測定結果に基づき、管理策のパフォーマンスを以下の基準で評価する。
| 評価区分 | 基準 | 対応 |
|---|---|---|
| 能力あり | 目標を達成し、有効に機能している | 現状の運用を継続 |
| 経過監視 | 目標は達成しているが、傾向として悪化が見られる | 監視頻度を上げて経過を観察 |
| 改善必要 | 目標未達成または有効に機能していない | 原因分析、是正処置の実施 |
フィードバック
Section titled “フィードバック”パフォーマンス評価結果は、以下にフィードバックする。
| フィードバック先 | 内容 |
|---|---|
| マネジメントレビュー | ISMSの有効性評価のインプットとして活用 |
| リスクアセスメント | リスク対応の妥当性確認、再アセスメントの要否判断 |
| 監視プロセス | 監視項目・頻度の見直し |
| インシデント管理 | インシデント対応基準の見直し |
文書化した情報
Section titled “文書化した情報”監視・測定の結果は、以下の形式で文書化し保持する。
| 文書・記録 | 内容 | 保管場所 |
|---|---|---|
| インシデント記録 | インシデント対応履歴、件数集計 | YouTrack |
| 教育実施記録 | 教育の実施状況、受講者記録 | Slack記録、カレンダー |
| アカウント管理記録 | アクセス権限の変更履歴 | Microsoft Entra ID監査ログ、Google Workspace監査ログ(いずれもnightwatchで長期保存) |
| リスクアセスメント報告書 | リスク評価結果 | ISMS文書管理システム |
| 内部監査報告書 | 監査結果、指摘事項 | ISMS文書管理システム |
| マネジメントレビュー議事録 | 分析・評価結果、決定事項 | ISMS文書管理システム |