2023年7月27日
ISO27001(ISMS)を取得している企業はマネジメントシステムを会社内で構築・運用する必要があり、「ISMSのPDCAサイクル」に則って運用していきます。Plan・Do・Check・Actを順番に回すことで継続的に改善できる仕組みになっています。
1.PDCAサイクルとは
PDCAサイクルとは、マネジメントシステムの継続的改善に作用するものです。
Planとは計画の作成、Doとは実施、Checkとは点検、Actとは改善を意味し、これらの頭文字からPDCAサイクルと呼ばれています。
2.ISMSにおけるPDCAサイクルとは何か?
ISMSもマネジメントシステムです。
マネジメントシステムとは組織の方針や目標を定めて、その目標を達成するために必要な組織を管理する仕組みのことをいいます。
簡単に言うと、「組織を効率的に動かす仕組み」がマネジメントシステムです。
ISMSでは、会社によって目標を設定して取り組みます。情報セキュリティに関することや、会社が抱えている機密情報をどう保護していくのかという内容を定めます。
その「目標」に向かってマネジメントを行っていくための方法として、PDCA(Plan計画・Do実行・Check評価・Act改善)サイクルを繰りかえすことでスパイラルアップしていく事が求められています。
3.ISMSにおいてなぜPDCAサイクルが大切なのか?
ISMSにおいてPDCAサイクルが大切な理由は、マネジメントシステムは事業活動をより良くするためのものであり、PDCAサイクルはその活動基盤となるからです。
PDCAサイクルは、情報セキュリティという分野において、組織の合理的な判断を補助するためのツールです。技術的な解決策ではなく、管理手段レベルでの解決となるので、PDCAサイクルを回すことによる継続的な改善を実行できる状態にあることが重要な要素となるのです。
同じ失敗を繰り返さないために、あるいは今のやり方や環境を改善し続けるためには、継続的に改善を行う手法であるPDCAサイクルは重要であり、必要な考え方です。
4.ISO27001のPDCAサイクルでやること
ISO27001におけるPDCAサイクルは以下の通りです。
(1)Plan(計画)
【P・・・リスクアセスメント・リスク対応計画、リスク・機会への取り組み、目標設定・管理】
組織が管理している情報が何か、どう守り・活用するのか、ISO27001としての目標は何かを設定し、計画します。
具体的な例を出すと、会社にてどんな情報資産を取り扱っているのかを洗い出す活動や、従業員に情報セキュリティの教育を行う事への計画を立案することなどが当てはまります。
(2)Do(実行)
【D・・・教育、事業継続計画、計画に対する運用】
前段階の(1)Plan(計画)にて立案された計画や組織のルールの理解、定めた計画を運用することが当てはまります。
また、緊急事態があった場合に実際に対応できるかどうかの訓練を実施することも実行に当てはまります。
具体的な例を出すと、組織が決めたパソコン使用時やテレワーキング実施時のルールに従うことなどです。
(3)Check(評価)
【C・・・内部監査、マネジメントレビュー】
これまでの運用を自分たちで監査し、トップマネジメント(会社ごとに定義は変わりますが、おおよそ、決裁者、決裁権を持つ者もしくはその複数形を指します)で、これまでの運用の結果や内容について報告をします。
監査や、評価という表現をすると難しく感じるかもしれませんが、簡単な表現をするとこれまでの見直し、チェックを行うという意味です。
このチェックの機会をうまく使うことで、これまで作ってきたルールの妥当性や、有効性が確認できますし、逆に不要なルールや仕組みを削除することもできます。
いつも当たり前だと感じていたことを見直すという機会を設けることで、さらなる改善へと繋げることができますね。
(4)Act(改善)
【A・・・是正処置、マネジメントレビューのアウトプット】
クレームやインシデントなどの不適合が発生した場合は是正処置を行い、また、トップマネジメントで出た指示事項は、実行するために次の運用の計画に落とし込みます。
アウトプットというと、あまりなじみのない表現になるかもしれませんが、基本的にはCのチェックにて発見された、運用上での不具合・課題に対し、どう改善していくのか指示する・方向性を示すと捉えるとイメージしやすいかもしれません。
クレームやインシデントの対応だけでなく、内部監査などによって改善するべきと発見した内容をそのままにしておくことなく、改善の意思決定を行う事が非常に重要です。
5.ISO27001のPDCAサイクルをうまく回すためには
ISO27001の話に限らず、他のISOの規格でもPDCAサイクルがうまく回らないというケースは少なくありません。
その原因は主に2つあります。
原因の1つとしては、いきなりDを始めてしまってPが置き去りになっていることです。
急いで成果を出したいからといってPが置き去りになってしまっては、計画の段階で設定する目標が見えないまま動いてしまっていることになります。
2つ目の原因としては、P→D→Cまでは実行してAが十分でないことです。
特に目標達成の場合に分析や検証をしないところも多くありますが、達成した場合でもそうでない場合でも分析や検証は必要です。
また、結果だけでなく、P・D・Cの各プロセスごとに、施策が妥当だったかどうかを検証することも大事なことです。
Actを実行することによって次のPDCAサイクルにつながる材料を見つけましょう。
6. まとめ
PDCAサイクルを回すことでISO27001を継続的に改善し、スパイラルアップすることができます。
PDCAサイクルを前提で規格要求事項も構成されていますので、確実に実施していくことが必要です。
特にP(計画)やA(改善)を怠らず、もちろんD(実行)やC(評価)も十分に行い、次の運用に向けて改善することでより良い成果を臨めます。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
新規取得・運用別に
役立つ資料をお届けします
新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ