2025年度マネジメントレビュー議事録
編注: 原本CSVの「参加者」欄は空欄。
2025-11-14 17:00:59
2025/11/14 14:00 ~ 15:47
(1) 情報セキュリティ継続/従業員の業務用PC環境のセットアップのテストした際の問題
PCが古いため、開発に必要なツール群が適切にインストールできないことがわかり、代替PC利用時に業務の継続に重大な問題が生じることがわかった。 ==> インシデント登録し、2026年3月末までに代替機の入れ替えをすることを決めた
(2) 来期の年間スケジュールの作成
仮で作成した。 11月は決算作業で色々忙しいため、内部監査や、年間スケジュール策定等は10月末までにしたい。 11月以降は不適合の是正等の対応と来期目標設定の準備等にする。
-
特権アカウントの通常業務利用についてはリスクと認識しているが、社員数が少ない現状では、一般権限アカウントと別に管理権限アカウントを追加するコスト負担は現実的ではない。 そのため、来年度は「二アカウント方式の必須化」は行わず、代替管理策(ログ強化・MFA・定期確認・権限ポリシーの明確化) を中心にリスク低減を進めてほしい。
-
リスクアセスメントは、年1回の固定ではなく、“随時実施方式”を採用したい。 具体的には、資産追加・役割変更・新しいワークフロー導入時に必ず見直す 形で運用してほしい。規程にも「重大な変更時に必ずリスクアセスメントを行う」旨を追記してほしい。
-
インシデント対応手順における「レビュー」「改善」プロセスは不足しているため、手順書を改訂し対応を追加してほしい。 インシデント発生時に、必ず短い振り返り(簡易レビュー)を行い、必要であれば手順や設定を改善する流れを定着させたい。
-
顧客からのセキュリティ要求が増えているため、ISMS運用の効率化と、再利用可能な証跡や説明資料の整備を進めてほしい。
-
セキュリティの向上と同時に業務の改善や効率化、標準化も進めて行きたい。そのために必要な投資は積極的に検討したい。
-
ISMSの構築状況や内部監査の実施は順調と感じている。 来年度は改善点を無理のない範囲で確実に定着させ、当社の規模やポリシーに合った実効性のあるISMS運用にしていきたい。