sg sg-security-management isms risk_assessment business_management
まず結論
- マネジメントレビューとは、トップマネジメントがISMSの運用状況を確認し、改善の必要性を判断する活動です。
- SG試験では、「トップが決めた目的そのもの」ではなく、「目的が達成されているか」「改善が必要か」を確認する場として押さえることが大切です。
- 選択肢では、情報セキュリティ目的そのものと、情報セキュリティ目的の達成状況を混同させてくることがあります。
マネジメントレビューは、単なる報告会ではありません。
ISMSを続けていくために、経営層が「このままでよいか」「改善すべきことはないか」を判断するための見直しです。
直感的な説明
マネジメントレビューは、会社の情報セキュリティ活動の定期健康診断のようなものです。
健康診断では、身長や体重そのものを決めるのではなく、検査結果を見て、生活習慣を変えるべきかを判断します。
それと同じように、マネジメントレビューでは、ISMSの運用結果を見て、対策や計画を見直します。
たとえば、次のような情報を確認します。
- 前回のレビューで決めた対応は進んでいるか
- 内部監査で問題は出ていないか
- 不適合や是正処置は発生していないか
- リスク対応計画は予定どおり進んでいるか
- 情報セキュリティ目的は達成できているか
ここでのポイントは、トップマネジメントが自分で細かい作業をする場ではないということです。
トップは、報告された情報をもとに、方針・資源・改善の方向性を判断します。
定義・仕組み
マネジメントレビューは、ISMSを継続的に改善するために、トップマネジメントが定期的に行うレビューです。
ISMSは、一度ルールを作って終わりではありません。
業務内容、委託先、法令、脅威、利用するクラウドサービスなどは変化します。
そのため、組織の情報セキュリティ管理が今も適切かを見直す必要があります。
JIS Q 27001:2023は、ISO/IEC 27001:2022に対応したISMSの要求事項です。関連するガイドとして、JIPDECは ISMSユーザーズガイド-JIS Q 27001:2023 を公開しています。
マネジメントレビューで考える流れは、次のように整理できます。
| 観点 | 内容 |
|---|---|
| インプット | レビューで確認する材料 |
| レビュー | トップマネジメントによる評価・判断 |
| アウトプット | 改善、資源、方針などに関する決定 |
代表的なインプットには、次のようなものがあります。
- 前回までのマネジメントレビューの結果と、とった処置の状況
- ISMSに関する外部及び内部の課題の変化
- 内部監査の結果
- 不適合及び是正処置の状況
- 監視・測定結果
- 情報セキュリティ目的の達成状況
- リスクアセスメントの結果及びリスク対応計画の状況
- 利害関係者からのフィードバック
- 継続的改善の機会
SG試験では、細かい条文番号を覚えるより、何を材料にして、何を判断するのかを押さえる方が重要です。
特に、次の違いは意識しておきましょう。
| 混同しやすいもの | 見方 |
|---|---|
| 情報セキュリティ目的 | 組織が目指す目標そのもの |
| 情報セキュリティ目的の達成状況 | 目標が達成できているかの確認結果 |
マネジメントレビューで確認するのは、主に目的そのものを決め直すことだけではなく、目的が達成されているか、改善が必要かです。
どんな場面で使う?
マネジメントレビューは、ISMSを運用している組織で、定期的に実施されます。
たとえば、次のような場面です。
- 年に1回、ISMS全体の運用状況を確認する
- 内部監査の結果を経営層に報告する
- インシデントや不適合の傾向を確認する
- リスク対応計画の進み具合を確認する
- 教育、設備、人員などの資源が足りているかを判断する
実務では、現場担当者が集めた情報をもとに、トップマネジメントが判断します。
そのため、マネジメントレビューは現場の報告を経営判断につなげる場と考えると分かりやすいです。
SG試験では、次のように問われることが多いです。
- マネジメントレビューで考慮すべき事項はどれか
- 内部監査の結果はレビュー対象になるか
- 是正処置の状況はレビュー対象になるか
- 情報セキュリティ目的そのものはレビュー対象として適切か
選択肢では、「設定済みの目的そのもの」だけを対象にしているものに注意してください。
レビューで重要なのは、その目的が達成されているか、改善が必要かという視点です。
よくある誤解・混同
誤解1:マネジメントレビューは現場担当者の作業確認である
マネジメントレビューは、現場担当者だけで完結する確認ではありません。
トップマネジメントがISMS全体を見直し、改善や資源配分を判断する活動です。
誤解2:内部監査と同じである
内部監査は、ルールどおりに運用されているかを確認する活動です。
マネジメントレビューは、監査結果などを材料にして、経営層がISMSの有効性を見直す活動です。
| 用語 | 役割 |
|---|---|
| 内部監査 | 運用状況を確認する |
| マネジメントレビュー | 監査結果などを見て改善を判断する |
SG試験では、内部監査の結果はマネジメントレビューの材料になると考えると切り分けやすいです。
誤解3:情報セキュリティ目的そのものを確認すればよい
情報セキュリティ目的は、組織が設定する目標です。
マネジメントレビューで特に確認するのは、その目的の達成状況です。
過去問では、選択肢に「トップマネジメントが設定した情報セキュリティ目的」と書かれていると、正しそうに見えます。
しかし、レビュー対象としては、目的そのものよりも、目的の達成度合いを確認する視点が重要です。
誤解4:マネジメントレビューは一度実施すればよい
ISMSは継続的改善が前提です。
そのため、マネジメントレビューも定期的に行い、環境変化やリスクの変化に合わせて見直します。
まとめ(試験直前用)
- マネジメントレビューは、トップマネジメントがISMSを見直す活動です。
- 確認するのは、内部監査、不適合、是正処置、リスク対応、目的の達成状況などです。
- 情報セキュリティ目的そのものと、目的の達成状況を混同しないようにします。
- 内部監査はレビューの材料、マネジメントレビューは経営判断につなげる場です。
- SG試験では、選択肢に「改善につながる確認か」があるかで切り分けると判断しやすいです。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- BCMとは?BCPを運用・改善する考え方【SG試験】