2022年9月2日
ISMS(ISO27001)におけるパフォーマンス評価とは、実績に基づいた判定結果のことを意味し、先ずは規定通りに運用されているか、有効性があるかなどを評価します。
ISMS(ISO27001)のパフォーマンス評価は主に、①マネジメントシステム、②情報セキュリティ目的、③管理策の有効性評価についての3つの指標があります。
パフォーマンス評価はマネジメントシステムを運用する上で、PDCAサイクルのC(チェック)にあたる重要な仕組みです。
1.パフォーマンス評価とは?
ISMS(ISO27001)におけるパフォーマンスとは、『性能・機能』という意味で捉えていただくとわかりやすいです。
会社のルール・仕組みに沿って行っている活動が最終的な成果(情報セキュリティインシデントの撲滅等)に繋がっているのか、有効に作用しているのかを評価し、課題があるのであれば改善しましょうという意味です。
ISMS(ISO27001)はマネジメントシステムと言われるように、PDCAを回し続ける必要があります。
ルールを決めて終わりではなく、取組みの評価・改善を続けることが最も重要です。
そのため、パフォーマンス評価はマネジメントシステムを運用する上で、PDCAのC(チェック)にあたる重要な仕組みになっています。
ISMSのPDCAサイクルについてはこちらに詳しく書いています。
ISO27001のPDCAサイクル
ISMS(ISO27001)におけるパフォーマンス評価は、主に3つの指標があります。
(1)マネジメントシステムのパフォーマンス
現状を把握し方針を決めて動き出した情報セキュリティを、維持・改善するための自社の活動が有効に作用しているのかを評価します。
- 計画が適切に立っているか?
- 計画・ルール通り運用されているか?
等を評価します。
(2)情報セキュリティ目的についてのパフォーマンス
会社で掲げた目的・目標の為の活動が有効に作用しているのかを評価します。
例えば、情報セキュリティインシデントの撲滅を目的・目標とした場合、定期的に情報セキュリティ教育を実施したり、ヒヤリハット事例の展開等が具体的な実施項目として想定されます。
決定した実施項目について、
- 計画通り進んでいるか?
- 活動の結果として情報セキュリティインシデントの撲滅は達成できそうか?
を評価するイメージです。
(3)管理策の有効性評価についてのパフォーマンス
ISMS(ISO27001)で求められている114項目とリスクアセスメントの結果、自社で新たに設けた管理策が効果的に作用しているのか評価をするということです。
※管理策=情報セキュリティルールです。
情報セキュリティを維持する為の自社の運用ルールも策定して終わりでなく、運用する中で問題があれば改善が必要です。
サイバー攻撃も巧妙化しており、企業としては常に情報を収集し、情報資産を守る為の対策を決めていかなければなりません。
現状のルールは今の情勢・トレンドに沿った内容になっているかという点も、評価項目とすると良いでしょう。
2.どうやってパフォーマンスを評価するのか?
続いて、パフォーマンス評価の方法についても見ていきます。
実施方法は会社の規模や業種によって様々ですが、基本的には定点観測が良いと思います。
定点観測のメリットの一つとして、小さな変化に気が付きやすいということがあります。
例えば、体重を測るのは毎日同じ時間にするというのはイメージがつきやすいかもしれません。
朝と夜では測定値が違うことがあります。同じタイミングで測定を続けることで、体調の小さな変化に気が付くことがあるかもしれません。
また、チェック項目をあらかじめ決めておくことも重要です。
チェック項目がチェック者によって変わってしまうと、経過がぼやけてしまったり、チェック者の視点・力量に依存することになり、精度にばらつきが出ます。
チェック項目を決めることで、チェック者による評価のばらつきをなくすことに繋がります。
小さな変化を見逃さず、評価・分析し、改善することが求められています。
3.誰がパフォーマンス評価するのが適切か
誰が評価をするかはとても重要です。
自社の業務に精通している方(例えば部門長)が行うと効果的でしょう。
例えば、新入社員にパフォーマンス評価をさせても業界のことや自社の仕事についても理解が乏しく、リスクに気が付かない可能性があります。
ただし、ずっと同じ人が続けていると、どうしても視野が広がりづらくなります。
例えば〇月は●●部の部長が評価するなどと力量がある方でローテーションすることで、常に新しい視点を取り入れるという方法も考えられます。
まとめ
パフォーマンス評価はマネジメントシステムを運用する上で、PDCAサイクルのC(チェック)にあたる重要な仕組みです。
「パフォーマンス評価」という言葉は少しとっつきづらいものだと思いますが、言葉の難しさに惑わされず、自社のルールや活動に成果が出ているのか評価し、課題が見つかれば継続的に改善、ステップアップに繋げていただければと思います。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ