ISMSの定期運用で1年間に実施すべきこととは

ISMSの定期運用で1年間に実施すべきこと

〜ISO/IEC 27001のPDCAサイクルに基づく年間活動〜

ISMS（情報セキュリティマネジメントシステム）は、「構築して終わり」ではなく、毎年継続的に運用・改善していく仕組みです。
ISO/IEC 27001（JIS Q 27001）では、PDCA（Plan-Do-Check-Act）サイクルを継続的に回すことが求められています。

この記事では、ISMSの1年間の運用で実施すべき主な活動を、時期ごと・テーマごとに整理して解説します。

1. 年間スケジュール全体像

ISMSの年間運用では、以下のようなサイクルを想定すると効果的です。

※スケジュールは組織の事業年度に合わせて調整します。

2. 【Plan】計画段階で実施すること

(1) 組織の状況・利害関係者の見直し（4月頃）

• 組織の事業・体制・外部環境の変化を確認
• 法令・顧客要求事項の更新確認
• 利害関係者（顧客、委託先、社員など）の要求事項を再整理

📘 対応規格：JIS Q 27001 4.1～4.3

(2) リスクアセスメント・リスク対応の見直し（4〜6月）

• 前年度のリスク対応結果を評価
• 新たなリスク（新規システム導入・クラウド利用・テレワーク等）を特定
• リスクアセスメント表を更新し、必要な対策を決定

📘 対応規格：6.1（リスク及び機会への取組）

(3) 情報セキュリティ目的・目標の設定

• 方針に基づき、年度ごとのセキュリティ目標を策定
  （例：教育受講率100%、インシデント0件、バックアップ点検100%実施など）
• 目標達成のためのKPIを設定

📘 対応規格：6.2（情報セキュリティ目的）

3. 【Do】運用段階で実施すること

(4) 教育・訓練の実施（年間通して）

• 全従業員向けのセキュリティ教育（年1回以上）
• 新入社員向け教育
• 管理者・システム担当者向けの専門教育
• 緊急時対応訓練（情報漏えい・災害・サイバー攻撃など）

📘 対応規格：7.2, 7.3, 7.4（力量・認識・コミュニケーション）

(5) 運用ルールの遵守と点検

• アクセス権管理、バックアップ、ログ管理、外部委託管理などを定期的に実施
• 運用記録（証跡）を保管
• 必要に応じて改善提案を提出

📘 対応規格：8.1〜8.3（運用管理）

4. 【Check】確認段階で実施すること

(6) 内部監査の実施（7〜9月頃）

• ISMSの各運用プロセスが規格要求・自社ルールに適合しているか確認
• 監査計画・チェックリストを策定
• 監査結果を報告し、是正処置を依頼

📘 対応規格：9.2（内部監査）

(7) マネジメントレビュー（10〜12月頃）

• 経営層がISMS全体の有効性をレビュー
• 監査結果、インシデント、教育結果、リスク状況、改善提案を報告
• 方針や目標、資源の見直しを決定

📘 対応規格：9.3（マネジメントレビュー）

5. 【Act】改善段階で実施すること

(8) 是正処置・改善活動（年間を通して）

• 監査やレビューで見つかった不適合に対して原因分析
• 是正処置を実施し、再発防止策を策定
• 改善結果を文書化し、次年度運用に反映

📘 対応規格：10.1, 10.2（不適合及び是正処置・継続的改善）

6. 年間運用で押さえるべき記録・証跡

ISMSの運用では、「実施したことを示す記録」が重要です。
1年間で残すべき主な証跡は以下の通りです。

これらの証跡を整理・保管しておくことで、ISMS認証審査時にもスムーズな説明が可能になります。

7. まとめ：ISMS運用のポイント

ISMSの1年間運用では、次の3点を意識することが重要です。

1. 計画的にPDCAを回すスケジュール管理
   　→ 年間行事として定着させる。
2. 記録（証跡）を残す習慣化
   　→ 実施した証拠がなければ“やったこと”にならない。
3. 改善を止めない
   　→ 内部監査・レビューを“次の改善”につなげる。

これを継続して実践することで、ISMSは単なる形式的な仕組みではなく、
組織のリスク管理と信頼性を高める実践的な経営ツールとして機能します。