情報セキュリティマネジメントの実施サイクル

 情報セキュリティマネジメントを実施するにあたっては、まず計画段階として、情報セキュリティポリシーを策定します。しかし情報セキュリティポリシーは、一度文書化して策定するだけではあまり効果が期待できません。以下のような情報セキュリティマネジメントの実施サイクル(PDCAサイクル)によって、実態に沿った内容になっているかを常にチェックし、絶えず見直し、改善を図ることが大切です。

計画(Plan):
  情報資産の洗い出しを行い、リスクや課題を整理し、組織や企業の状況に合った情報セキュリティ対策の方針を定めた情報セキュリティポリシーを策定する。

導入・運用(Do):
  全社員・全職員に周知し、必要に応じて、集合研修などの教育を行う。 社員・職員が情報セキュリティポリシーに則って行動することで、目的とする情報セキュリティレベルの維持を目指す。

点検・評価(Check):
  導入後の現場の状況や問題点、社会的な状況などを踏まえて、定期的に情報セキュリティポリシー自体を評価する。また、遵守されているかどうかの監査も行う。

見直し・改善(Act):
  点検・評価の内容を参考にして、情報セキュリティポリシーの見直し・改善を行う。

  情報セキュリティポリシーは、企業や組織の状況、新たな脅威、新しい法律の施行など社会的な状況によっても、定期的に見直さなければなりません。そのためにも、このようなサイクルを継続的に実施することで、常に適切なものにしておくことが大切です。

情報セキュリティマネジメントの実施サイクルのイメージ