10.1 継続的改善
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 10.1 |
| 分類 | 改善 |
組織は、ISMSの適切性、妥当性及び有効性を継続的に改善しなければならない。
ISMSが組織の情報セキュリティニーズに対して常に適切であり、効果的に機能し続けることを確保するため、継続的な改善活動を実施する。
当社における実施状況
Section titled “当社における実施状況”当社では、ISMSの継続的改善を以下のプロセスを通じて実施している。
継続的改善の情報源
Section titled “継続的改善の情報源”ISMSの改善機会は、以下の活動から特定される。
| 情報源 | 内容 | 関連文書 |
|---|---|---|
| マネジメントレビュー | ISMSの適切性・妥当性・有効性の評価、改善機会の特定 | 9.3 マネジメントレビュー |
| 内部監査 | 規格要求事項・社内規程への適合状況の評価、改善の機会の特定 | 9.2 内部監査 |
| 監視・測定結果 | 情報セキュリティパフォーマンスの分析、傾向の把握 | 9.1 監視、測定、分析及び評価 |
| 是正処置 | 不適合の原因除去、再発防止策の実施 | 10.2 不適合及び是正処置 |
| インシデント対応 | インシデントからの教訓、再発防止策 | 10. インシデント対応及び事業継続管理 |
| リスクアセスメント | リスク状況の変化、新たなリスクへの対応 | 14. 情報セキュリティリスクアセスメント |
| 外部環境の変化 | 法令・規制の変更、脅威動向の変化 | 4.1 組織及びその状況の理解 |
継続的改善のサイクル
Section titled “継続的改善のサイクル”当社では、PDCAサイクルに基づき継続的改善を実施している。
| フェーズ | 活動内容 | 実施時期 | 責任者 |
|---|---|---|---|
| Plan(計画) | リスクアセスメント、情報セキュリティ目的の設定、改善計画の策定 | 年1回(8月)および随時 | 情報セキュリティ責任者 |
| Do(実施) | 管理策の実施、教育・訓練、運用 | 通年 | 各担当者 |
| Check(評価) | 監視・測定、内部監査、マネジメントレビュー | 年1回(8月)および随時 | 監査・点検責任者、情報セキュリティ責任者 |
| Act(改善) | 是正処置、予防処置、ISMS文書の改訂 | 随時 | 情報セキュリティ責任者 |
改善活動の実施
Section titled “改善活動の実施”改善の機会が特定された場合、以下のプロセスで対応する。
- 改善機会の評価: 情報セキュリティ責任者が改善の必要性と優先度を評価
- 改善計画の策定: 具体的な改善内容、担当者、期限を決定
- 改善の実施: 計画に基づき改善を実施
- 有効性の確認: 改善が意図した効果を達成したかを確認
継続的改善の対象には以下が含まれる。
- 情報セキュリティ方針及び目的
- 情報セキュリティ関連規程
- リスクアセスメント及びリスク対応のプロセス
- 管理策の有効性
- 組織体制及び役割・責任
- 教育・訓練プログラム
- 監視・測定の方法
文書化した情報
Section titled “文書化した情報”継続的改善に関する記録は、以下の形式で文書化し保持する。
| 文書・記録 | 内容 | 保管場所 |
|---|---|---|
| マネジメントレビュー議事録 | 改善機会の特定、改善の決定事項 | ISMS文書管理システム |
| 内部監査報告書 | 改善の機会、観察事項 | ISMS文書管理システム |
| 是正処置記録 | 是正処置の内容と結果 | YouTrack |
| ISMS文書改訂履歴 | 規程・手順の改訂内容 | ISMS文書管理システム(Git履歴) |