13-2-1. ISMSの概要(確立・運用・監視)
ISMSの確立、運用、監視
「第7章. セキュリティフレームワーク」でも記載した通り、ISMSはPDCAサイクルに則って運用することとなります。PlanでISMSを確立し、Doで導入および運用、Checkで監視および見直し、Actで維持および改善を行います。ISMSの取組みで、組織の情報セキュリティをより良くするために管理手段レベルでの解決を目指すことになります。同じ失敗を繰り返さない、あるいは現状を改善し続けるために、PDCAサイクルによって継続的な改善を図ることが重要です。
本テキストでは、網羅的アプローチとして必要なドキュメントや項目を抜粋し、詳細に説明していきます。なお、ISMSの要求事項を定めているISO/IEC 27001の1から3はそれぞれ「1.適用範囲」「2.引用規格」「3.用語および定義」なので、実質的な要求事項は「4. 組織の状況」から「10. 改善」までの7項目となっています。
図53. ISO/IEC 27001のPDCAサイクル