ボスがチェックをする、と言っても、何をどうすればよいのだろう？
何もかもをボス一人でチェックするなんて、実はそう簡単なことじゃない。なにせ資料は膨大にあるから、現場の担当者さんにお願いして色々と資料を出してもらい、それをまとめてもらったものをチェックする方が現実的ではないだろうか。
どんな資料を出すべきかは規格書に定められていて、部下の方々はそれに従って用意する。マネジメントレビューにおいてその結果は全て、後から誰が見ても解るようにはっきり記録に残さなくてはならないので、 もしも資料を探したけれど、存在しなかったよという場合(例えば規格書でいう7.2のb)、お客さんやユーザー、従業員からの苦情・感想・指摘などについて)は、無かったということをはっきりと記録に残す必要がある。
提出すべきものはa)〜i)の９つ項目が挙がっているけれど、慣れていないうちはなんのこっちゃ全然わからなかった。そこで初心者なりに書き下してみると。。。

「7.2レビューへのインプット」より
a)ISMSがらみで行われる全ての監査(内部監査・認証審査)の結果
b)自分の会社のお客さんや取引先、利用者、従業員からの苦情・感想・指摘
c)ISMSをこれから良くするにあたって役に立ちそうな（新）商品・技術・情報
d)既に実施済みの是正措置、予防措置があればその結果と、実施状況
e)今までISMSをやってきた中で、法令や予算などの制約があって取り上げられなかった脆弱・脅威があれば、それをこれからちゃんと取り上げるのかどうかの判断(リスクアセスメントし直すかどうか)
f)管理策の有効性測定の結果。
g)過去のマネジメントレビュー結果に対応したかどうかの確認についての報告
h)コレがあるとISMSに影響があるよね、というような組織内外の変化(法令の改正など)
i)部下からボスへのISMS改善への提案があればここでどうぞ。 監査の結果や改善の提案だけでなく、ISMSに役立ちそうな新商品の紹介や、お客さんのクレームもここで報告することになっているのが面白い。
情報基盤センターでは、これらをパワーポイントファイルにまとめ、みんなで集まってそれぞれ担当者が組織のトップに説明する、という形をとっている。