2020年5月22日

在宅勤務でISMSを半年で取得
本日のコラムのテーマは『在宅勤務でISMSを半年で取得』です!
『在宅勤務に働き方が変わっているがISMS(情報セキュリティマネジメントシステム/ISO27001)の取得は半年で出来るのか?』についてコラムを書かせていただきます!!
新型コロナウィルスの影響で様々な状況が変わって来ていると思いますが、皆さんいかがお過ごしでしょうか?
皆様のご健康をお祈り申し上げます。
弊社では新型コロナウィルスの影響を受けて、4月1日より全社員が在宅勤務でお仕事をさせていただいております。
普段のお客様とのお打合せを『ビデオ通話』で実施させていただくなど、お客様にご協力を頂き進めております。
様々なお客様とお打合せをさせていただく中で、ソフトウェア開発業のお客様では特に在宅勤務やリモートワーク、テレワークなどに働き方をシフトされているケースが多いなと感じました。
また、そんな中でお客様から、
『在宅勤務でもISMS(情報セキュリティマネジメントシステム/ISO27001)の更新ができますか?』といったご質問を多く受けました。
そこで気づきました。 『これは新規でISMS(情報セキュリティマネジメントシステム/ISO27001)の取得をしようとしている企業も同じように不安に思っているはずだ!!!』と。
先に、結論からお話をすると在宅勤務でもISMSは取得できます。
しかし、半年で取得できるかどうか、という点についてはお約束できないのではないかなと思います。
というのも、状況によって変わるからです。 審査機関によって対応が違うので一概には言えませんが、審査では、お仕事をしている本人にヒアリングするフェーズがあり、お仕事をしている現場も監査しに行きます。
実際にお仕事をしている人のご自宅に、審査員が出向かなければならないのです。
『えっ?』って思いますよね、、、これは全員ではなくて良いです。 審査ではサンプリング審査という方法がとられ、どなたかの1つの事例を確認できればそれで良いのです。
繰り返しますが、審査機関によって対応が違います。
弊社では様々な審査機関をお客様に合わせてご提案させていただいております。 こういったノウハウはなかなか専門家でないと集めにくい部分になるかと思います。
審査機関によっての対応については、別途下記動画をご参考にしていただければと存じます。 https://youtu.be/UOw4Rt236CU
さて、在宅勤務という働き方をするにあたって、ISMSとして対応しなければならないこととしては、以下があげられると思います。
① マニュアルの見直し
② 管理策の見直し
③ 審査機関と連絡(審査について確認)
④ ISMS運用の見直し
① 「マニュアルの見直し」について、 在宅勤務になる前にマニュアルを作っている会社もあると思います。
在宅勤務になって大きくルールを見直されていることが多いと思います。
ISMSのマニュアルが変更後のルールと一致しているか?確認する必要があります。
例えば、適用範囲、役割責任は問題ないか? 情報セキュリティ基本方針など従業者に認識してもらいたい情報はどのように周知されているのか?
コミュニケーションの取り方が変化していないか? など、情報セキュリティマニュアル全体的に見直しが必要かと思います。
② 「管理策の見直し」について、 管理策についても見直しが必要になるかと思います。
特にA6.2.2テレワーキングの部分は変更されているケースが多いので見直しをされるとよいでしょう。
社内で共有しているルールが管理策で定めているルールと同じか?関連文書を作成していたりしないか?見直しをしてみてください。
③「審査機関と連絡(審査について確認)」について、 審査機関との連絡は審査を受けるうえで必ず必要になります。 前述したとおり、審査機関によって対応方法が違います。
あらかじめ、次の審査をお願いしようとしている審査機関に対応を実際に確認してみましょう。
審査機関の対応パターンとして、以下があります。
A) テレビ電話などのツールで審査をしてくれる
B) 必ず審査員が現地に出向かなければならない
上記であればA)の方がいいですよね。 また、同じ審査機関でも会社の状況によって対応が変わる場合もあります。
必ず、自社の状況を審査機関に伝えるようにし、審査機関の対応を確認しましょう。
審査当日に審査できないとなってしまっては大変です。
④「ISMS運用の見直し」について、 在宅勤務体制に変更しているのであれば、体制変更後に改めて運用(PDCA)を回しましょう。
社内の業務フローは変化していないのか? リスクアセスメントは適切であるか? 体制変更に伴い、リスク対応を検討した方がいいものはあらわれていないのか?
この見直しまでされていると、審査の際により現状に合った審査を受けることができるでしょう。
まとめ
いかがでしょうか?
体制が変更すると意外と見直しをすることが多いんだなということがわかるかと思います。
特に審査機関の情報はなかなか自分たちでは集まってこないので、現状の審査機関が自社に合っているかの判断は難しいです。
また、審査機関によって対応が違うんだと驚かれた方もいるのではないでしょうか?
弊社ではお客様数から、多くの情報が集まってきます。
認証パートナーは、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。 無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ