情報セキュリティポリシーは、運用を開始した後にも、社員や職員の要求や社会状況の変化、新たな脅威の発生などに応じて、定期的な見直しが必要です。また、見直しを行った結果、必要に応じて情報セキュリティポリシーを改訂しなければなりません。この作業を継続的に繰り返すことが、情報セキュリティ対策の向上に役立ちます。
情報セキュリティ上のリスクは、常に変化しているものです。情報セキュリティ対策もその変化に対応できなければなりません。そのため、常に最新の情報セキュリティ関連の情報を収集する体制が必要です。そして、収集した情報を参考にして、現在の情報セキュリティポリシーの内容に不足している項目がないかどうかを評価します。
評価のためには、日常的に社員や職員へのモニタリングを行い、情報セキュリティポリシーが適切に守られているか、有効に機能しているかなどについての調査、定期的な監査、 変動するリスクの分析などを行います。
評価をする際には、情報セキュリティポリシーが現場の状況に適合しているか、最新の法律や企業や組織の現状を踏まえ、情報セキュリティポリシーに不備や不足はないか、なども考慮する必要があります。
評価、監査、調査の結果、社員や職員からの要求に基づいて、情報セキュリティポリシーの見直しと改訂を行います。改訂した情報セキュリティポリシーは、再び計画のプロセスを経て、運用に移していきます。
