コンテンツにスキップ
ISMSマニュアル

9.3 マネジメントレビュー

項目内容
改訂日2024.04.01
適用範囲全社
箇条番号9.3
分類パフォーマンス評価

要求事項

Section titled “要求事項”

9.3.1 一般

Section titled “9.3.1 一般”

トップマネジメントは、組織のISMSが、引き続き、適切、妥当かつ有効であることを確実にするために、あらかじめ定めた間隔で、ISMSをレビューしなければならない。

9.3.2 マネジメントレビューへのインプット

Section titled “9.3.2 マネジメントレビューへのインプット”

マネジメントレビューは、次の事項を考慮しなければならない。

  • a) 前回までのマネジメントレビューの結果講じた処置の状況
  • b) ISMSに関連する外部及び内部の課題の変化
  • c) ISMSに関連する利害関係者のニーズ及び期待の変化
  • d) 次に示す傾向を含めた、情報セキュリティパフォーマンスに関するフィードバック
      1. 不適合及び是正処置
      1. 監視及び測定の結果
      1. 監査結果
      1. 情報セキュリティ目的の達成
  • e) 利害関係者からのフィードバック
  • f) リスクアセスメントの結果及びリスク対応計画の状況
  • g) 継続的改善の機会

9.3.3 マネジメントレビューの結果

Section titled “9.3.3 マネジメントレビューの結果”

マネジメントレビューの結果には、継続的改善の機会、及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。

組織は、マネジメントレビューの結果の証拠として、文書化した情報を利用可能な状態にしなければならない。

目的

Section titled “目的”

トップマネジメントがISMSの適切性、妥当性及び有効性を定期的に評価し、必要な改善や変更を決定することで、ISMSの継続的な有効性を確保するため。

当社における実施状況

Section titled “当社における実施状況”

当社のマネジメントレビューは、内部監査と同日に実施し、内部監査+マネジメントレビュー 議事録(Google Docs)として1本の文書にまとめている。

マネジメントレビューに関する組織体制及び基本的な実施方針は、1. 組織的対策の「2. 情報セキュリティ取組みの監査・点検」に定めている。

本項では、マネジメントレビューの概要を示す。

マネジメントレビューの概要

Section titled “マネジメントレビューの概要”
項目内容
実施頻度年1回(8月)
実施責任者情報セキュリティ責任者(代表取締役)
参加者トップマネジメント、情報セキュリティ部門責任者(CTO)
実施形式内部監査と同日に実施し、議事録1本にまとめる

インプット情報

Section titled “インプット情報”

マネジメントレビューでは、以下の情報をインプットとして考慮する。

インプット項目情報源担当
前回マネジメントレビューの処置状況前回議事録、是正処置記録情報セキュリティ責任者
外部及び内部の課題の変化4.1 組織及びその状況の理解の見直し情報セキュリティ責任者
利害関係者のニーズ及び期待の変化4.2 利害関係者のニーズ及び期待の理解の見直し情報セキュリティ責任者
不適合及び是正処置内部監査報告書、是正処置記録監査・点検責任者
監視及び測定の結果9.1 監視、測定、分析及び評価の結果情報セキュリティ責任者
監査結果9.2 内部監査報告書監査・点検責任者
情報セキュリティ目的の達成6.2 情報セキュリティ目的の達成状況情報セキュリティ責任者
利害関係者からのフィードバック顧客からの要望、監査指摘等情報セキュリティ責任者
リスクアセスメント結果14. 情報セキュリティリスクアセスメント情報セキュリティ責任者
継続的改善の機会各種レビュー結果、改善提案全参加者

アウトプット(レビュー結果)

Section titled “アウトプット(レビュー結果)”

マネジメントレビューの結果として、以下の事項を決定する。

  • ISMSの継続的改善の機会
  • ISMSの変更の必要性(方針、目的、プロセス、管理策等)
  • 資源の必要性
  • 是正処置の指示
  • 次回レビューまでの重点事項

文書化した情報

Section titled “文書化した情報”
文書・記録内容保管場所
マネジメントレビュー議事録レビュー結果、決定事項、処置指示ISMS文書管理システム
是正処置記録指摘事項への対応状況YouTrack

関連文書

Section titled “関連文書”