ISMSにおける「マネジメントレビュー」

～トップマネジメント＝経営層による意思決定の基盤～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2025.10.23

〇マネジメントレビューとは

ISMS（情報セキュリティマネジメントシステム）の認証規格であるISO/IEC 27001:2022における「マネジメントレビュー」は、組織のトップマネジメント（経営者、またはISMS適用組織の長）がISMSの有効性を体系的に確認し、継続的改善を推進するための重要なプロセスです。

多くの場合、情報セキュリティ推進部門が実施事務局となり、経営会議のような会議体として開催されることが一般的と思われます。

ISO/IEC 27001に基づくISMSではマネジメントレビューは定期的な実施が要求されます。

国内の多くの企業・組織では年に1回ないしは半期に1回のサイクルで計画・実施されるケースが多いと思われます。

〇マネジメントレビューの内容

マネジメントレビューでは、今期の内部監査の実施結果、是正処置の進捗、前回のマネジメントレビューで決定した事項の実施状況を確認するとともに、外部環境や組織内の変化、利害関係者の要求事項、リスク及び機会の最新状況などを整理・分析します。

また、セキュリティ目標の達成度、情報セキュリティインシデントの発生状況、パフォーマンス指標の測定結果なども併せて評価します。

＊具体例

・内部監査の実施結果

　→監査で見つかった不備が経営リスクに直結するのか、それとも限定的な影響なのかをトップマネジメントが理解し、必要なら改善を指示する。

・リスクおよび機会（好機）の変化

　→新しい法規制や取引先のセキュリティ要求が追加された場合、それに対応できるか、追加の予算や体制強化が必要かを検討する。

・利害関係者の要求事項、フィードバック

　→顧客からの要望や監督官庁の指摘があれば、それをISMSの改善にどう取り込むかを判断する。

・インシデントの発生状況

　→例えば過去1年でサイバー攻撃によるシステム停止が数回起きた場合、トップマネジメントは「現行の対策で十分か」「追加投資が要るか」を考える。

これらの確認項目（議題）により、ISMSが組織の戦略目標や方針に適合しているかを判断し、改善が必要な領域を特定します。

そして、マネジメントレビューの結果は、資源配分の見直し、方針や目的の修正、リスク対応策の強化など、今後の取り組みに反映します。

上記のとおり、マネジメントレビューはISMSによる情報セキュリティの有効性を維持し、ISMSの継続的改善を実現するための、トップマネジメント＝経営層による意思決定の基盤となるものです。

〇マネジメントレビューを「経営会議」の一部とすることも

ISMSのマネジメントレビューは「特別なイベント」として開催することも可能ですが、国内の多くの企業で定例的に行われている「経営会議」の一部、もしくはその議題の一つとして取り上げることも、多くの場合可能であろうと思われます。

特に経営リソースに制限がある中小の事業者様であれば、ISO/IEC 27001の要求事項も、なるべく簡潔に実現できる方法を工夫することが、ISMSの効率化や合理的な運営につながるものと思います。

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。