タテックス有限会社によるISO9001,140001,27001の規格等のコンサルティングサービス、第三者審査に関連した情報の発信をしています。

ISO27001 > ISO27001:2013 > 4. 組織の状況  > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策

9. パフォーマンス評価



この箇条は、PDCA サイクルの「Check 」に対応するところです。
「9.1 監視、測定、分析及び評価」 9.1 Monitor, measure, analyze, and evaluate your information security
この箇条は、2005 年版の「4.2.2(d )」と「4.2.3(c )」(管理策の有効性の評価)に対応します。
有効性の評価に関しての要求事項は、2005 年版と比較して、 より具体的になっています。

監視及び測定が必要な対象はもとより、監視、測定、分析及び評価の方法、実施時期、
実施者、分析及び評価の時期、実施者などです。
また、適切な文書化した情報を保持することを求めています。


某○△□※のコンサルタントのブログ、ホームページには、内部監査で監視・測定を行えば問題ない、
運用も楽といった記述がありました。
これを鵜呑みにしてシステム構築運用するのは絶対に止めましょう。
死に体のシステムに誘う悪魔のささやきです。こんなひどいコンサルが
たくさんいるからISOは役立たないといったことになるのです。マネジ
メントシステムとして何が必要なのか、今一度本物のコンサルタントに
指導を受けるべきです。


「9.2 内部監査」 9.2 Set up an internal audit program and use it to evaluate your ISMS
この内部監査は、2005 年版 の「6 ISMSの内部監査」に対応します。

ISMS に関して組織自 体が規定した要求事項と、ISO/IEC 27001 の要求事項への適合し、有効に実施され維持されていることを確認します。
ただし、法令または規制の要求事項への適合は明示的には記載されていません。

内部監査の手順を含む監査プログラムについて文書化が要求されています。
監査プログラムには、内部監査の計画、実施、報告、フォローアップの一連の流れと関連する記録の保持についての責任、力量及び
要求事項を文書化することが要求されています。 ~
また、監査基準、監査範囲についても明確化を求めています。~
監査員の選定については、 監査プロセスの客観性及び公平性を確保することを要求しています。 ~
これは、有益な監査結果を得るために重要なことです。~
内部監査員になるには、内部監査員研修を受講するのが一般的です。~
研修終了者は、実務経験を積み、改善を指摘できる人材として活躍していく必要があります。


「9.3 マネジメントレビュー」 9.3 Review performance of your ISMS at planned intervals
マネジメントレビューは、2005 年版の「7. ISMS のマネジメントレビュー」に対応します。
インプット・ア ウトプットの内容が変更されており、例えば、2005 年版のマ ネジメントレビューへのインプットに記載されていた以下の項目は、2013 年版では削除されています。
    • ISMSの実施状況及び有効性を改善するために組織において 利用可能な技術、製品または手順
    • 過去のリスクアセスメントで適切に取り扱われなかった脆弱 性または脅威
    • 有効性の測定結果


~
~
~
~

関連リンク

ISO27001 > ISO27001:2013 > 4. 組織の状況  > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > 付属書A.管理目的及び管理策 

情報セキュリティマネジメントシステム コンサルティング


2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。


   お問合せは、ここをクリック→お問合せ

~
~
~
~


 

コメントをかく


「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

管理人/副管理人のみ編集できます