１．パフォーマンス評価とは？

会社のルール・仕組みに沿って行っている活動が最終的な成果（情報セキュリティインシデントの撲滅等）に繋がっているのか、有効に作用しているのかを評価し、課題があるのであれば改善しましょうという意味です。

ISMS（ISO27001）はマネジメントシステムと言われるように、PDCAを回し続ける必要があります。
ルールを決めて終わりではなく、取組みの評価・改善を続けることが最も重要です。
そのため、パフォーマンス評価はマネジメントシステムを運用する上で、PDCAのC（チェック）にあたる重要な仕組みになっています。

ISMSのPDCAサイクルについてはこちらに詳しく書いています。
ISO27001のPDCAサイクル

ISMS（ISO27001）におけるパフォーマンス評価は、主に3つの指標があります。

（１）マネジメントシステムのパフォーマンス

現状を把握し方針を決めて動き出した情報セキュリティを、維持・改善するための自社の活動が有効に作用しているのかを評価します。

• 計画が適切に立っているか？
• 計画・ルール通り運用されているか？

等を評価します。

（２）情報セキュリティ目的についてのパフォーマンス

会社で掲げた目的・目標の為の活動が有効に作用しているのかを評価します。

例えば、情報セキュリティインシデントの撲滅を目的・目標とした場合、定期的に情報セキュリティ教育を実施したり、ヒヤリハット事例の展開等が具体的な実施項目として想定されます。

決定した実施項目について、

• 計画通り進んでいるか？
• 活動の結果として情報セキュリティインシデントの撲滅は達成できそうか？

を評価するイメージです。

（３）管理策の有効性評価についてのパフォーマンス

ISMS（ISO27001）で求められている114項目とリスクアセスメントの結果、自社で新たに設けた管理策が効果的に作用しているのか評価をするということです。
※管理策＝情報セキュリティルールです。

情報セキュリティを維持する為の自社の運用ルールも策定して終わりでなく、運用する中で問題があれば改善が必要です。
サイバー攻撃も巧妙化しており、企業としては常に情報を収集し、情報資産を守る為の対策を決めていかなければなりません。
現状のルールは今の情勢・トレンドに沿った内容になっているかという点も、評価項目とすると良いでしょう。

２．どうやってパフォーマンスを評価するのか？

続いて、パフォーマンス評価の方法についても見ていきます。
実施方法は会社の規模や業種によって様々ですが、基本的には定点観測が良いと思います。

定点観測のメリットの一つとして、小さな変化に気が付きやすいということがあります。
例えば、体重を測るのは毎日同じ時間にするというのはイメージがつきやすいかもしれません。
朝と夜では測定値が違うことがあります。同じタイミングで測定を続けることで、体調の小さな変化に気が付くことがあるかもしれません。

また、チェック項目をあらかじめ決めておくことも重要です。
チェック項目がチェック者によって変わってしまうと、経過がぼやけてしまったり、チェック者の視点・力量に依存することになり、精度にばらつきが出ます。
チェック項目を決めることで、チェック者による評価のばらつきをなくすことに繋がります。
小さな変化を見逃さず、評価・分析し、改善することが求められています。

３．誰がパフォーマンス評価するのが適切か

誰が評価をするかはとても重要です。

自社の業務に精通している方（例えば部門長）が行うと効果的でしょう。
例えば、新入社員にパフォーマンス評価をさせても業界のことや自社の仕事についても理解が乏しく、リスクに気が付かない可能性があります。

ただし、ずっと同じ人が続けていると、どうしても視野が広がりづらくなります。
例えば〇月は●●部の部長が評価するなどと力量がある方でローテーションすることで、常に新しい視点を取り入れるという方法も考えられます。

まとめ

パフォーマンス評価はマネジメントシステムを運用する上で、PDCAサイクルのC（チェック）にあたる重要な仕組みです。

「パフォーマンス評価」という言葉は少しとっつきづらいものだと思いますが、言葉の難しさに惑わされず、自社のルールや活動に成果が出ているのか評価し、課題が見つかれば継続的に改善、ステップアップに繋げていただければと思います。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約