７．２　マネジメントレビューへのインプット

　　【解説】”インプット”とは、ここではマネジメントレビューで色々な判断をするための、判断材料
　　　になるいろいろな情報を指します。


　情報がなにもなければ何の判断もできないでしょうから、事前に情報が集められて、社長さんらに報告されなければなりません。この報告には、次のことを含んで下さい。

　ａ）内部監査(6.項)や色々な見直し(レビュー)の結果
　ｂ）苦情などの、社外からの通信
　ｃ）ISMSの行われ具合や、新しく利用できそうな技術、製品、手順
　ｄ）是正処置や予防処置の進み具合や結果、効果
　ｅ）前回までのリスクアセスメントで、あまり重要視していなかった事や見落としていた事
　ｆ）情報セキュリティはうまく保たれているかどうか
　ｇ）前回までの見直し(レビュー)で、何か行うことにした事の進み具合や、結果、効果
　ｈ）会社をとりまいている状況の変化。例えば法規制などの変更や社会で頻発している情報
　セキュリティ関連事件。
　ｉ）何かの改善提案
　ｊ）その他必要なこと

　　【解説】情報を集める責任者や、その情報を社長さんに報告する責任者は決めておくべきで
　　　しょう。集めなければならない情報は、結構たくさんあります。

　　【解説】”会社をとりまいている状況の変化”には、直接会社周囲の状況（光ケーブルが敷設
　　　されて利用しやすくなったなど）の他、法律が変わった、世間で関心を集め始めたなど間接
　　　的に会社を取り巻いている状況の変化も含みます。もちろん、ISO27001の改訂もここに
　　　含まれるでしょう。JIS版には「変更」とありますが、「変化」と読むべきです。

　　【解説】ａ）〜ｉ）の各項目は、報告されないことがあり得ます。例えば、前回の見直しの後、
　　　苦情などの通信が寄せられていない場合などです。その場合でも、記録には「なし」と
　　　書いておくべきです。そうでないと、報告し忘れたのか、報告することがなかったのか、
　　　後でわからなくなります。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則