4.6.3 マネジメントレビューに関する要件の解説
令和7年8月29日|p.105
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
4.6.3マネジメントレビュー[27001-9.3]
4.6.3.1トップマネジメントは、あらかじめ定めた間隔で、マネジメントレビューする。
「27001-9.3
あらかじめ定められた間隔でマネジメントレビューを実施するために、以下の点
について考慮するとともに、文書化する。
・マネジメントレビュー基本計画
・マネジメントレビュー実施計画
・マネジメントレビューのための実施報告
基本計画書では目的及び実施時期について、実施計画では詳細な監査の手法につ
いてあらかじめ決める。
4.6.3.2トップマネジメントは、マネジメントレビューにおいて、以下を考慮する。
[27001-9.3.2]
・前回までのマネジメントレビューの結果講じた処置の状況
・情報セキュリティマネジメントに関連する外部及び内部の課題の変化
・情報セキュリティマネジメントに関連する利害関係者のニーズ及び期待の変化
・以下に示す内容を含めた、情報セキュリティパフォーマンスに関するフィード
バック
-不適合及び是正処置
-監視及び測定の結果
一監査結果
-情報セキュリティ目的の達成
・利害関係者からのフィードバック
・情報セキュリティリスクアセスメントの結果及び情報セキュリティリスク対応
計画の状況
・継続的改善の機会
また、これらの情報を構成することが予想される活動及び事象を記録し、必要に
応じて報告するとともに、緊急性が高いものについてはあらかじめ定義しておき、
誰もが同じ判断をできるように基準を定める。
4.6.3.3マネジメントレビューの結果には、継続的改善の機会及び情報セキュリティマネジ
メントのあらゆる変更の必要性に関する決定を含める。[27001-9.3.3]
マネジメントレビューの結果を改善策に反映するために、以下の活動を実施し、
改善策を検討する。
・情報セキュリティマネジメントの有効性の改善
・情報セキュリティリスクアセスメント及び情報セキュリティリスク対応計画の
更新
・情報セキュリティマネジメントに影響を与える可能性のある内外の事象を考慮
の上での手順及び管理策の修正
・必要となる経営資源の特定
・パフォーマンス測定方法の改善
なお、改善策の立案においては、情報セキュリティリスク対応の選択肢を選択し
た際の記録を参考にする。
4.6.3.4組織は,マネジメントレピューの結果の証拠として文書化した情報を利用可能な状
態にする。[27001-9.3]
マネジメントレビューの結果は次回のマネジメントレビューに活用されるため、
実施内容と結果が分かるように具体的に記録する。