情報セキュリティ対策を実施すればこれで情報セキュリティは完璧でしょうか。
一般的な組織では、対策を講じるにもやみくもにリソースを投入出来るわけではありません。効果的に効率的に対策を構築する必要があります。
また、せっかく対策を実施するように決められても、面倒なことはだんだんと放置されたり、決められた対策があまりも業務を圧迫することで無視されたり、逆に決められた対策が緩すぎて、効果が何も出ないようなことがあります。
また、情報資産に対する脅威・脆弱性は日々変化しており、これらに対応していく必要もあります。
情報セキュリティを管理し、系統立てて検討したものが「情報セキュリティ管理システム(ISMS: Information Security Management System)」になります。
一般的には、情報セキュリティ対策を計画(Plan)し、実施(Do)し、点検(Check)し、見直す(Act)PDCAサイクル を継続的に回し、情報セキュリティを維持・改善していく情報セキュリティ管理を構築することになります。
