マネジメントレビューとは

トップマネジメントが定期的に実施する、計画～監査までの運用報告を指します。
定期的に設定された目的を達成するため、運用内容が適切であったか、その他妥当であったか、有効であったかを判断し次年度に向けた意思決定を行うための活動です。

ISMS（ISO27001）とマネジメントレビュー

ISMS（ISO27001）におけるマネジメントレビューとは上記のような昨年度の評価、次年度への活動設定の場であり、ISMS（ISO27001）の要求により定めた期間で実施することが求められています。
  
また実施するにあたって必要な内容も定められています。
①前回までのアウトプット内容に対してどのような活動を行ったか
②ISMS（ISO27001）に関する社内外での課題が昨年度とどのように変わったか
③以下４点の内容を含めた報告　※これはあくまで含めたなのでその他の報告内容も行います。
・不適合及び是正処置
・監視及び測定の結果
・監査結果
・情報セキュリティ目的の達成
④従業員や協力会社、ライバル会社や顧客からの改善の声やお褒めの言葉
⑤リスクアセスメントの結果とリスク対応計画の実施状況
⑥年月を使用して行われる改善すべき点
が必要とされています。
  
またこの情報を基にトップマネジメントが指示を出す必要がある内容として、
①年月を使用して行われる改善すべき点への指示
②ISMS（ISO27001)に関してどのような内容でも良いので、次年度以降変更すべきという　内容の指示
が求められています。

まとめ

マネジメントレビューとはトップマネジメントが定期的に実施する、計画～監査までの運用報告を指します。
定期的に設定された目的を達成するため、運用内容が適切であったか、その他妥当であったか、有効であったかを判断し次年度に向けた意思決定を行うための活動です。
  
この意思決定に必要な情報をインプット、評価結果をアウトプットとも呼びます。
それぞれに必要な情報は下記です。
  
インプット（意思決定に必要な情報）
①前回までのアウトプット内容に対してどのような活動を行ったか
②ISMS（ISO27001）に関する社内外での課題が昨年度とどのように変わったか
③以下４点の内容を含めた報告
・不適合及び是正処置
・監視及び測定の結果
・監査結果
・情報セキュリティ目的の達成
④従業員や協力会社、ライバル会社や顧客からの改善の声やお褒めの言葉
⑤リスクアセスメントの結果とリスク対応計画の実施状況
⑥年月を使用して行われる改善すべき点
  
アウトプット（評価結果）
①年月を使用して行われる改善すべき点への指示
②ISMS（ISO27001)に関してどのような内容でも良いので、次年度以降変更すべきという内容の指示
  
あらかじめ定めた間隔で実施することと、ISMS（ISO27001）には記載されていますので上記項目をもとに実施を行いましょう。