2020年9月9日
ISMS(ISO27001)の必要性は、組織の状況で異なります。
ISMS(ISO27001)取得・維持の必要性を疑問に思う方もいることでしょう。
ISMSの認証件数は年々増加していますが、取得の理由は組織によって異なります。目的を明確にし、自分達の組織にISMSが本当に必要かどうか判断しましょう。
1.ISMS(ISO27001)の必要性がある事例
ISMSの認証件数は増加していると言っても、他の企業・組織がどんな理由で取得しているか気になりませんか?
一部ですが、弊社にお問合せをいただいたお客様のお声を紹介します。
事例①
クライアントからの要望、失注を防ぐため
『クライアントからISMSかプライバシーマークを取得しているかどうか、また、情報管理の状況について聞かれることが増えました。
質問に対して十分な回答ができなかった結果、案件を受注できなかったケースも出てきており、今後の拡大を見据えて、ISMS取得を決めました。』
事例②
セキュリティ対策を証明するため
『新しい事業を開始するにあたってお客様の社外秘データを取り扱うことになり、機密保持の契約やデータの保管に関してきちんとしたセキュリティ対策を実施できているか証明が必要になったので、この度ISMS取得に踏み切りました。』
事例③
入札に参加するため
『自治体案件でISMSやプライバシーマークが条件で入札ができないケースがあり、機会損失となっていました。
また、案件によっては膨大な情報を受領することがあり、セキュリティ面のリスク対策が必要であると感じていたので、今回取得を決めました。』
事例④
個人情報以外のセキュリティ強化、在宅勤務へ対応するため
『プライバシーマークを取得しているが、個人情報以外のセキュリティに関してマニュアルがなく、ISMS取得の必要が出てきました。
また、コロナ禍で在宅勤務がスタートし、一層セキュリティマニュアルの必要性を感じました。』
いかがでしょうか。
ISMS取得の必要性が大いにあるケースをご紹介しました。
2.取得のメリット
ISMS(ISO27001)取得のメリットを大きく3つにまとめました。
①顧客や取引先から信頼を得やすい状態になる
「セキュリティ体制を整えています」といってお取引を行う際、自己宣言と、第三者から評価されているのではどちらが信頼を得られるでしょうか。
もちろん、第三者から評価された方ですね。
審査機関という第三者から評価された状態になることで、お取引先の信頼を得やすくなりますし、取引を拡大できるケースもあります。
②情報を取り扱う手順やルールを明確にできる
ISMS(ISO27001)の取得・更新は、情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。
③役割や責任権限が明確になる
ISMS(ISO27001)の取得では情報セキュリティに関する役割や責任権限なども考えていく必要があります。セキュリティを保つためのルールももちろんですが、ソフト面、ハード面の管理体制も整える必要があります。
“なんとなく”振り分けていた役割を改めて確認できる機会になります。
3.取得のデメリット
もちろんデメリットもあります。
今回は主なデメリット3つを紹介します。
①作業が増える
審査機関から評価を受けるためには、社内で実施したと確認できる記録が必要になります。
今まで口頭で確認していたことを書面に残す必要が出て来たり、結果だけを書面・データで残していたものに対し、プロセスも書面やデータで残す必要が出てきます。
②守るべきルール・手順が増える
ISMS(ISO27001)の構築で難しいのが、この部分です。
セキュリティを担保するために考えれば行うべきことも、「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
また、残すべき情報やログが増えてしまうこともあります。
セキュリティを保つことももちろんですが、それで日常業務が行いにくい体制になってしまっては元も子もありません。
状況に合ったルールや手順を判断していく必要があります。
③審査費用が発生する
ISMS(ISO27001)は一度取得したら終わり!というものではありません。
維持するためには毎年審査がありますので、継続して運用していかなければなりません。
審査費用も毎年発生しますし、審査を受けるためのスケジュール確保も必要になります。
4.ISMS(ISO27001)とPマークは何が違う?
ISMS(ISO27001)の必要性について考える際、もう1つの疑問が浮かぶ企業も多いです。
それは、ISMS(ISO27001)とプライバシーマーク(Pマーク)との違いは何か?」「プライバシーマーク(Pマーク)では問題ないのか?」「という考えです。
ISMS(ISO27001)とプライバシーマーク(Pマーク)は似て非なるものです。
違いを表にまとめました。
こちらの記事で違いについて詳しく解説しておりますので是非ご覧ください。
まとめ
ISMS(ISO27001)の必要性がある事例の紹介とメリット・デメリットについてご説明しましたがいかがでしたでしょうか。
取得のメリット・デメリットを把握した上で、自分達の組織に本当にISMS(ISO27001)が必要かどうか判断しましょう。
ISMS新規認証取得・運用について詳しく知りたい方はコチラ
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ