2021年7月27日
ISMS(ISO27001)は意味がないのでしょうか?
なぜISMS(ISO27001)は意味がないと言われるのでしょうか。
「意味がない」なんてことはありません。自社のルールをそのまま落とし込むことで、ISMSが意味のあるものになります。ISMSのルールを作って自社のルールにするのではなく、自社のルールを作ってISMSにあてはめるのがいいでしょう。
同じ情報保護の規格であっても、ISMSはプライバシーマーク(Pマーク)よりセキュリティ範囲が広いこともあり、取得する企業は年々増えています。
1.ISMS(ISO27001)「意味がない」と言われる理由
ISMS(ISO27001)を取得されている企業のご担当者さまから、「ISMSって意味ないんでしょうか?」と聞かれることがあります。
ISMSを取得するには、規格の要求事項通りに運用できていることを証明する必要があります。
規格本を読んで理解したり、
規格要求事項で求められている文書を作成したり、
新しい方針を掲げたり、
フォーマットを作成したり、
記録を作成したり…とやらなければいけないことがたくさんあります。
それなのに、苦労して作った書類が日常業務に役立つのか?となった際、役立てられている企業が少ないのです。
それが「ISMSは意味がない」と言われる理由でしょう。
つまり、日常業務では使わないISMS(ISO27001)の審査のための書類を作ってしまっているのです。
個人情報保護の認証であるプライバシーマーク(Pマーク)を取得する意味についてはこちらの記事をご覧ください。
プライバシーマーク(Pマーク)は意味がないのか?理由と結論
2.それなのにISMS(ISO27001)が取得されるのはなぜ?
ISMS(ISO27001)を取得されている企業は2021年6月現在で6,446社です。
2019年と比べると、600社近く増えています。
海外の審査機関で審査を受けている企業も含めるともっと多いでしょう。
「意味がない」と言われているISMSを取得する理由は、
時代とともに情報セキュリティに着目する企業が増えているからです。
電子化が当たり前になり、
情報は紙ではなくパソコンの中やクラウド上に保管される機会も増え、
場合によっては一瞬にして自社の機密情報が世界に漏洩するリスクを抱えているところも多いでしょう。
そのような理由から、「ISMSを取得していること」が大手企業との取引条件や官公庁の入札案件に含まれるのが当たり前になってきております。
2020年までは、ISMSを取得していれば、「他社と差別化できる」という認識だったのが、最近では「ISMSは取得していて当たり前」という流れになってきているようにも感じます。
3.結論:ISMS(ISO27001)って本当に意味がないの?
そんなことはありません。
意味のある運用ができている企業もたくさんあります。
意味のあるISMS(ISO27001)にするために大切なことは、
構築の段階で、「ISMSのためだけのルールを作らない」ということです。
NG!・・・ISMSのルールを作って自社のルールにする
OK!・・・自社のルールを作ってISMSにあてはめる
9割以上の企業がISMSのためだけのルールを作ってしまっているのが現状です。
自社のルールをそのままISMSのルールにすることで、意味のある運用に変わってきます。
そのためには、ルールを作る前に、まずは現状把握からはじめるのが良いでしょう。
セキュリティに関するルールって何があったっけ?
暗黙のルールみたいになってるのってどんなものがあったっけ?
ルールとは呼べないようなレベルのものでも、とにかく現状のルールをすべて洗い出して、それをそのままISMSのルールにしましょう。
ISMSは現状のルールで審査を通すことが可能です。
よく「ISMSを取得するには新しいルールを作らないといけない」と勘違いされることがありますが、今のルールのまま審査を通し、自社のセキュリティ体制の現状把握をすることで、自社のセキュリティに対する課題が色々見えてきます。
ISMS取得後に、優先順位を決め、計画を立てて一つ一つ改善していくことで、自社のセキュリティレベルは確実に上がっていくでしょう。
まとめ
いかがでしたでしょうか。
ISMSが意味があるものになるか否かは、はじめのISMS構築方法が大きく影響してきます。
情報マネジメントシステムというのはあくまでシステムの構築になります。
自社で悩みながら作成しても、ルールや文書類が多く、運用しづらいシステムになってしまいがちです。
なのに長年運用しなければならず、苦労されている企業をたくさん見てきました。
大切なことは、ISMSのためのルールをつくるのではなく、現状把握をして自社のルールをそのままISMSのルールにあてはめていくことです。
取得したはいいけれど、「意味がない」状態になってしまわないよう、一度専門家に相談してみるのもいいでしょう。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ