ISMSの有効性評価を最大限に活かす！最適な実施タイミングと目的を徹底解説

「ISMSにおける有効性評価はいつするべき？」

「そもそもISMSの有効性評価は何のために行っているの？」

このような疑問をお持ちの方はいらっしゃいませんか？

実は、ISMSにおける有効性評価は行うタイミングにより、効果の違いが変わってきます。

有効性評価を行うにあたり、最も効果的とされるタイミングは組織体制や内部のシステムの見直しを行う経営管理活動（マネジメントレビュー）を実施するときだと言われています。

ここでは、なぜ有効性評価はマネジメントレビューの時に行うのが良いのか、また、有効性評価が必要な理由をメインに紹介していきます。

本稿を読み終えることで、組織内でより効果的な有効性評価ができるようになるでしょう。

1.ISMSの有効性評価はマネジメントレビューで行うのが効果的

マネジメントレビューの目的は、ISMSの1年の運用の結果を管理責任者が経営層に報告し、次年度行うべき行動の助言を貰い、改善することです。

そのため、マネジメントレビューのタイミングで、その与えられた情報として有効性評価の結果が経営層に報告・評価されることが最も効果的です。

例えば、過去1年間に発生した情報セキュリティに関する事案の件数や、重大度、さらには情報セキュリティにおける事案発生後の対応（復旧、再発防止策）が迅速かつ適切であったかを評価し、対応した際の工程に対する有効性や、予防策の不足点を明確にします。

そのほかにも、必要な有効性評価はありますが、その全てをマネジメントレビューをする時に経営層に報告し、次年度の活動すべき行動の助言を貰うという意味でも、マネジメントレビュー時が最適だといえるでしょう。

2.ISMSの有効性評価で対策が有効か無効かを判断できる

ISMSにおける有効性評価は、PDCAサイクルでいう「Check（評価）」の部分に位置づけられます。

PDCAサイクルの「Check（評価）」は、会社が情報セキュリティのために行った活動や計画に対して、きちんと効果が出ているのかを確認し、判断することを指します。

そして、PDCAサイクルにおける「Check（評価）」の中で、最も重要だと言われているのが、ISMSにおける有効性評価です。

ISMSにおける有効性評価とは、計画に基づいた活動が、期待した目標や効果をどの程度達成できたかを評価することを指します。

例えば、リスク対応としてセキュリティ対策を実施したからといって、それで終わりではありません。

そのセキュリティ対策が計画した通りに効果を発揮し、問題があった際にきちんと対策を打った結果、本当に被害を受ける危険性が減ったのかを、数字やデータでしっかり確認し、示さなければなりません。

そして、講じた対策によりリスクが軽減されていれば有効とされ、リスクが軽減されていなければ講じた対策は有効ではなかったといえるのです。

3.ISMSの運用における3つの確認・改善活動の違い

ISMSの運用において、混同しやすいのが以下の3つになります。

1. 有効性評価
2. 内部監査
3. マネジメントレビュー

これらはいずれも、目標や計画に対して実行した結果に対する現状を、確認・改善するために必要不可欠な活動ではありますが、それぞれ目的と視点が異なります。

そこで本章では、ISMSにおける3つの確認活動の違いについて説明します。

（1）有効性評価

ISMSにおける有効性評価は、現場での対策がきちんと機能しているか、また有効であるかを目的としています。

これは、導入したセキュリティ対策が、リスクの低減を実際に達成しているかを確認するために行います。

（2）内部監査

ISMSにおける内部監査は、組織が決めたルールをきちんと運用できているか、が目的とされています。

これは、ISMSの国際規格や、組織が決めたルールや計画、手順書などに沿って、情報セキュリティのシステム全体が正しく構築され運用されているかをチェックするために行います。

有効性評価とは、目的や視点の違い、実施するべき主体が異なります。

①目的・視点

• 有効性評価：講じた対策が目的の達成にきちんと向かっているか、が目的です。有効性評価は、改善を主要として考えられています。
• 内部監査：組織全体が決められたルール通りに運用しているか、が目的となります。内部監査は基準をクリアしているかを確認することが求められています。

②実施するべき主体

• 有効性評価：現場の担当者や責任者が主体となります。
• 内部監査：独立した部署や担当者が主体となります。

（3）マネジメントレビュー

ISMSにおけるマネジメントレビューとは、ISMSに対して会社の方向性が合っているかを確認することが目的とされています。

経営層が、有効性評価や内部監査を行った結果などから、ISMSの全体的な適合性、妥当性、有効性を判断して、今後の方針を決定します。

有効性評価とは、活動の階層と意思決定のレベルが異なります。

①活動の階層

• 有効性評価：PDCAサイクルでいう「Check（評価）」に該当します。
• マネジメントレビュー：PDCAサイクルでいう「Check（評価）」と「Act（改善）」に該当します。有効性評価と内部監査で得た情報を、マネジメントレビューで把握・評価・改善後の提案を行います。

②意思決定レベル

ISMSの有効性評価を行ったことにより、現場で解決できない問題に対しての改善をマネジメントレビューで行います。

例えば、企業の経営方針や、人員の確保、新たな予算の組み立てなどが挙げられます。

このように、似て異なる3つの活動ですが、これらをうまく連携させることで、現場がうまく回っているかの確認や、ルールが守られているかの確認、そして経営層が組織に対して戦略を練ることができるようになり、継続的な改善が行えるようになるのです。

4.まとめ

ISMSの有効性評価で抑えるべき重要なポイントはわかりましたか？

1章では、ISMSの有効性評価を行うべきベストタイミングは、マネジメントレビュー時であり、組織で行ったISMSの1年の運用結果を、経営層が判断することで効果が最大化することを解説しました。

また2章では、ISMSにおける有効性評価は、PDCAサイクルでいう「Check（評価）」にあたり、組織が立案した計画に基づいた活動が、期待した目標や効果をどの程度達成できたかを評価することだと理解できたでしょうか。

さらに3章では、ISMSの運用における3つの確認・改善活動の違いとして、「有効性評価」「内部監査」「マネジメントレビュー」についてまとめました。

ぜひ、本稿を読んで、有効性評価を実施する際にお役立てください。