ISMS（ISO27001）の有効性評価のベストタイミングはマネジメントレビューです。
ISMS（ISO27001）の有効性評価とは、運用や対策をした結果、効果があったのか、目標に近づいているかどうかを確認することです。
つまりマネジメントレビューのタイミングで確認することが効果的です。

１．有効性評価とは?

有効性評価とは、効果があったかどうかを判断することです。

例えば、リスクへの対応計画。 重要資産に対して想定されるリスクに何かしらの対策を施したとしましょう。
しかし、対策をしたら終わりではありません。対策した結果何もしなかった時よりもリスクが軽減されたかを判断する必要があります。

対策を施したことによりリスクが軽減されていればその対策は有効といえ、リスクが軽減されていなければその対策は有効でなかったと言えます。
想定したリスクが起こっていないか、で判断するとわかりやすいですね。
有効性がなければ別の対策を施す必要があります。

このように、運用や、対策した結果、有効性があったか（効果があったか）を確認することが有効性評価です。
有効性評価を行うことで、マネジメントシステムを改善していくことができます。

２．是正処置とは？

是正処置とは、言い換えれば再発防止という意味です。
是正処置は内部監査などで不適合が発生した際に必要になってきます。

例えば、お水が入ったコップを机の上で倒し、水をこぼしてしまったとしましょう。
机にこぼれてしまった水を拭くのが「処置」です。 もう水をこぼさないように、コップではなくペットボトルの飲料を飲むようにするというのが「是正」です。
イメージがわきましたでしょうか？

ISMS（ISO27001）では内部監査をした際にも、不適合は発生すると思います。
不適合が発生した場合には、是正処置が必要になりますが、その是正処置がただの「処置」にならないよう注意する必要があります。

是正処置のステップとしては、まずは不適合が発生してしまった「原因」を分析するところから始めましょう。
原因は何なのか分析していくことが重要です。
不適合の内容にもよりますが、「そもそも手順・ルールがない」、「認識がなかった」などが原因としてよく挙げられます。
原因を特定した後は、まず不適合を改善しどうすれば再発しないかを考える必要があります。
原因が「手順がない、ルールがない」であれば、再発防止策として新しく手順を立案する必要がありますし、「認識がなかった」のであれば、認識をしてもらうよう教育をする必要があります。併せて、同様の不適合が発生しないかどうかも見直しをしておきましょう。

このように、不適合の原因を分析し再発防止策を立案していくことが是正処置となります。
もちろん、是正処置も有効性評価の必要があります。
先ほどの事例の場合、ペットボトルに変更した結果、水をこぼしていないかどうかの確認ですね。
是正処置した結果、効果があったかはレビューをするようにしましょう。

３．有効性評価は誰がどのタイミングでやるの？

では結局ISMS（ISO27001）における有効性の評価はいつ誰がやるのかというと、マネジメントレビューの際にトップが行うと効果的です。

マネジメントレビューの目的は、ISMS（ISO27001）の1年の運用の結果を管理責任者がトップに報告し、次年度のアウトプットを貰い、改善することです。
そのため、マネジメントレビューの時が有効性の評価のタイミングと言えます。

その他、先述したとおりリスク対応計画の有効性評価や、是正処置の有効性評価も必要ではありますがその全てをマネジメントレビュー時にトップに報告し次年度のアウトプットを貰うという意味でも、マネジメントレビュー時が最適でしょう。

まとめ

ISMS（ISO27001）における有効性の評価のベストタイミングはマネジメントレビューです。
有効性評価をし、マネジメントシステムを改善していきましょう。