ステップアップ式 情報セキュリティ対策ガイドライン
1.3 情報セキュリティ管理システムとは
情報セキュリティ対策を行なう上で、何をどの様に計画して実施するか。また、これらの対策が有効に機能しているかの確認と、対策の見直しが重要になります。このプロセスをPDCA(Plan-Do-Check-Action)サイクルと言い、ISMS認証基準(Ver2.0)では、情報セキュリティ対策に対してこのプロセスを適用しています。これをISMS(Information Security Management System)「情報セキュリティ管理システム」と呼んでいます。
Plan(計画) :情報セキュリティ対策事項の具体的計画を策定する。
Do(実施・運用) :計画・目標に基づいて対策事項の実施・運用を行なう。
Check(評価・監査):対策事項を実施した結果の評価・監査を行なう。
Action(是正) :見直しを行い、対策事項について是正する。
例えば、ウイルス対策ソフトの導入という計画(Plan)に対し、これを実際に導入(Do)し、これが実際に機能しているかの確認(Check)を行い、機能していなければこれを見直す(Action)というプロセスが必要になります。
上記ではウイルス対策ソフトの導入という項目だけの計画でしたが、実際には、守るべき情報資産を適切に評価した上で、組織、人、技術などに関する様々な対策を計画していく必要があります。