2020年9月25日
ISMS(ISO27001)を取得する際の注意事項は、①認証範囲は絞れる②審査機関は複数ある中から選べる、審査料も異なる③構築段階では最低限のルール構築で大丈夫、作りすぎないの3点です。ISMS取得の注意事項を知らないと、ムダな手間やお金がかかってしまうこともあります。
1.ISMS(ISO27001)取得時によくあるミス3選
ISMSを初めて取得されるときに、ご担当者の方が勘違いもしくはミスされることが多いのは、
①認証範囲を絞れることを知らない
②審査機関が複数あることを知らない
③情報セキュリティルールの構築が複雑になる
の3点です。 以下で詳しく説明していきます。
2.認証範囲を決める時に・・・してしまう
認証範囲を絞れることを知らず、「認証範囲は会社全体(=全社)で!」と決めてしまう方がいます。ISMSは認証範囲を絞って認証できるのです。 ISMS認証は本社のみ取得や、部署単位まで絞って認証を取ることが出来るのです。
認証を絞って取ることのメリットは、審査工数を削減出来ることです。 認証範囲を絞れることを知らずに審査を受けてしまうと、本来は審査範囲に含めなくても良かった部署も対象にしてしまうことがあります。審査対象人数が増えることで審査工数が増え、費用が上がってしまいます。
認証範囲を決めるときは、「本社のみ」「〇〇事業のみ」「〇〇拠点のみ」など、範囲を限定できることを覚えておきましょう。 余計な範囲を含めなければ取得に掛かるコストを抑えることが出来るのです。
3.審査機関の選定で・・・してしまう
審査機関が複数あることを知らず、審査機関の選定で大手の審査機関だけに見積もりを取り、選んでしまう方がいます。 審査機関は何か所もあることをご存じでしょうか?国内のISMS認証制度を運営しているISMS‐ACという組織があります。 ISMS‐AC認定の審査機関で27社、それ以外も含めると全国で約60社の審査機関があるのです。
ISMS(ISO27001)は国際規格なので審査基準はどこの審査機関も同じですが、審査会社によってどこを優先的に見るかのポイントが違ったりします。
また、審査機関によって審査費用も異なります。安い審査機関と高い審査機関での料金差は大きく開いています。
審査機関の選定の際には、どこの審査機関で受けるのかは相見積もりを取得して判断することをおすすめします。
4.構築段階で・・・してしまう
構築段階でルールを作りすぎてしまう方がいます。 ISMS取得を目指すにあたってセキュリティルールを作っていく必要がありますが、最初からルールを作りすぎてしまっていませんか?
ISMSの構築の際に114項目のセキュリティ運用ルールを決めるのですが、自分たちが大変になるような厳しいルールを作る必要はありません。 運用のルールはあとから追加したり修正することもできます。最初の構築段階では最低限のルール構築で構いません。
まずはISMS取得を目指してルールを作り、ISMS取得が出来てからPDCAサイクルを回して行く上でセキュリティルールの見直しを行うことも出来ます。
5.認証マーク取扱いにおける注意事項
無事にISMSを取得できると、取得していることを示すことのできる認証マークが付与されます。このマークの取り扱いについて説明します。
① 認証範囲外でISMS認証マークを使用していないか
ISMS認証マークを特定の部署や支社で認証を取得している場合は、その部署や支社以外ではISMS認証マークを使うことができません。 名刺やパンフレットにISMS認証のマークを載せる際は、認証範囲内の事業・拠点・部署だけにマークを掲載しなければなりません。 ホームページやサイトへの記載についても、特定の事業・拠点・部署のみで認証取得していることを記載しましょう。
②誤解されるようなISMS認証マークの掲載をしていないか
ISMS認証マークは、製品もしくはサービスそのもののセキュリティのレベルを判定する認証ではなく、組織・企業に与えられるものです。 そのため、商品紹介サイトやパンフレットなどの公表物で、「製品が認証されている」ように掲載することはできません。 「製品・サービス自体がISMS認証をとっているように見えない」ことに注意しましょう。
③ ISMS認証マークの画像を加工していないか
ISMSを自社のメディアに掲載する場合は、下記の決まりがございます。 ・マークの大きさを変える際は比率を変えないこと ・画像が不明瞭にならないこと ・マークを企業の社名やロゴ等よりも大きく表示しないこと ・認証登録番号を削除しないこと ISMS認証マークを使う際は、画像に加工しないようにしましょう。
ISMSの取得・運用にお悩みの方! ISMSの新規取得や更新に役立つ資料を1週間以内にお届けします♪ 資料のお申込みはこちら
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ