1.PDCAサイクルとは
PDCAサイクルとは、マネジメントシステムの継続的改善に作用するものです。
Planとは計画の作成、Doとは実施、Checkとは点検、Actとは改善を意味し、これらの頭文字からPDCAサイクルと呼ばれています。
2.ISMSにおけるPDCAサイクルとは何か?
ISMSもマネジメントシステムです。
マネジメントシステムとは組織の方針や目標を定めて、その目標を達成するために必要な組織を管理する仕組みのことをいいます。
簡単に言うと、「組織を効率的に動かす仕組み」がマネジメントシステムです。
ISMSでは、会社によって目標を設定して取り組みます。情報セキュリティに関することや、会社が抱えている機密情報をどう保護していくのかという内容を定めます。
その「目標」に向かってマネジメントを行っていくための方法として、PDCA(Plan計画・Do実行・Check評価・Act改善)サイクルを繰りかえすことでスパイラルアップしていく事が求められています。
3.ISMSにおいてなぜPDCAサイクルが大切なのか?
ISMSにおいてPDCAサイクルが大切な理由は、マネジメントシステムは事業活動をより良くするためのものであり、PDCAサイクルはその活動基盤となるからです。
PDCAサイクルは、情報セキュリティという分野において、組織の合理的な判断を補助するためのツールです。技術的な解決策ではなく、管理手段レベルでの解決となるので、PDCAサイクルを回すことによる継続的な改善を実行できる状態にあることが重要な要素となるのです。
同じ失敗を繰り返さないために、あるいは今のやり方や環境を改善し続けるためには、継続的に改善を行う手法であるPDCAサイクルは重要であり、必要な考え方です。
4.ISO27001のPDCAサイクルでやること
ISO27001におけるPDCAサイクルは以下の通りです。
(1)Plan(計画)
【P・・・リスクアセスメント・リスク対応計画、リスク・機会への取り組み、目標設定・管理】
組織が管理している情報が何か、どう守り・活用するのか、ISO27001としての目標は何かを設定し、計画します。
具体的な例を出すと、会社にてどんな情報資産を取り扱っているのかを洗い出す活動や、従業員に情報セキュリティの教育を行う事への計画を立案することなどが当てはまります。
(2)Do(実行)
【D・・・教育、事業継続計画、計画に対する運用】
前段階の(1)Plan(計画)にて立案された計画や組織のルールの理解、定めた計画を運用することが当てはまります。
また、緊急事態があった場合に実際に対応できるかどうかの訓練を実施することも実行に当てはまります。
具体的な例を出すと、組織が決めたパソコン使用時やテレワーキング実施時のルールに従うことなどです。
(3)Check(評価)
【C・・・内部監査、マネジメントレビュー】
これまでの運用を自分たちで監査し、トップマネジメント(会社ごとに定義は変わりますが、おおよそ、決裁者、決裁権を持つ者もしくはその複数形を指します)で、これまでの運用の結果や内容について報告をします。
監査や、評価という表現をすると難しく感じるかもしれませんが、簡単な表現をするとこれまでの見直し、チェックを行うという意味です。
このチェックの機会をうまく使うことで、これまで作ってきたルールの妥当性や、有効性が確認できますし、逆に不要なルールや仕組みを削除することもできます。
いつも当たり前だと感じていたことを見直すという機会を設けることで、さらなる改善へと繋げることができますね。
(4)Act(改善)
【A・・・是正処置、マネジメントレビューのアウトプット】
クレームやインシデントなどの不適合が発生した場合は是正処置を行い、また、トップマネジメントで出た指示事項は、実行するために次の運用の計画に落とし込みます。
アウトプットというと、あまりなじみのない表現になるかもしれませんが、基本的にはCのチェックにて発見された、運用上での不具合・課題に対し、どう改善していくのか指示する・方向性を示すと捉えるとイメージしやすいかもしれません。
クレームやインシデントの対応だけでなく、内部監査などによって改善するべきと発見した内容をそのままにしておくことなく、改善の意思決定を行う事が非常に重要です。
5.ISO27001のPDCAサイクルをうまく回すためには
ISO27001の話に限らず、他のISOの規格でもPDCAサイクルがうまく回らないというケースは少なくありません。
その原因は主に2つあります。
原因の1つとしては、いきなりDを始めてしまってPが置き去りになっていることです。
急いで成果を出したいからといってPが置き去りになってしまっては、計画の段階で設定する目標が見えないまま動いてしまっていることになります。
2つ目の原因としては、P→D→Cまでは実行してAが十分でないことです。
特に目標達成の場合に分析や検証をしないところも多くありますが、達成した場合でもそうでない場合でも分析や検証は必要です。
また、結果だけでなく、P・D・Cの各プロセスごとに、施策が妥当だったかどうかを検証することも大事なことです。
Actを実行することによって次のPDCAサイクルにつながる材料を見つけましょう。
6. まとめ
PDCAサイクルを回すことでISO27001を継続的に改善し、スパイラルアップすることができます。
PDCAサイクルを前提で規格要求事項も構成されていますので、確実に実施していくことが必要です。
特にP(計画)やA(改善)を怠らず、もちろんD(実行)やC(評価)も十分に行い、次の運用に向けて改善することでより良い成果を臨めます。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。