【失敗しない】ISMSの担当変更・引き継ぎ：スムーズに引き継ぐためのポイントを解説

ISMS（ISO27001）の担当引き継ぎは、ISMSを中断させることなく継続して運用するうえで重要な役割を果たします。

担当者が変わることで、これまでの運用フローが途切れてしまうと、情報セキュリティレベルの低下を招くだけでなく、次回の審査でISMSの認証維持に関わる大きな問題となりかねません。

特に、業務が属人化しているケースでは、引き継ぎが不完全になりがちです。

さらに、新任の担当者の方は「何から手をつけるべきかわからない」、前任者の方は「どこまで伝えればいいかわからない」という不安に直面しがちです。

また、審査機関への担当変更の連絡を怠ると、重要な連絡や審査日程の打診が届かなくなる恐れもあります。

本記事では、このような問題を解決するため、ISMS担当変更を成功させるため 新任者・前任者がやるべきことを解説します。またクラウドツールでスムーズに担当変更が可能です。

是非ご覧ください。

1.ISMS（ISO27001）業務の引き継ぎの目的

この運用の継続性を実現するためには、後任者がISMS（ISO27001）の規格概要など必要な知識を深く理解することが求められます。

そして、後任者がISMS（ISO27001）の業務を一通り遂行できる状態になって初めて、情報セキュリティマネジメントシステム（ISMS）の継続的な運用が実現します。

2.ISMS（ISO27001）の引き継ぎって何をすればいいの？

ISMS（ISO27001）の引き継ぎにおいて、後任者（引き継がれる側）の視点で具体的に実施すべきことは、主に以下の3点です。

1. ISMS（ISO27001）を深く理解すること
2. スケジュールを正確に把握すること
3. ISMS（ISO27001）を滞りなく継続運用すること

⑴ISMS（ISO27001）を深く理解すること

新しくISMS（ISO27001）の担当者となった方は、ISMSの運用を通じて、初めて知る用語や作成するフォーマット、または初めて実施する事柄などに直面することがあります。

業務の第一歩として、ISMSがどのような規格であるか、そして、ISMSを何を目的・目標として運用しているのかを改めて確認することが求められます。

ISMS（ISO27001）の概要については、こちらの記事で詳しく書いております。

あわせて読みたい記事

ISMSとは？ISO27001との違い・認証取得すべきかなど解説

「ISMSとは何？ISO27001とどう違うのかよく分からない！」 「ISMSって、結局何をどうしたら良いのだろう？」 ISMSという言葉を聞いて、「なんとなく分かりそうだけど、あんまり良く分からない…

⑵スケジュールを正確に把握すること

前任者が作成した運用スケジュールが存在していても、その計画通りに運用が進んでいるとは限らないため、まず現状を把握することが重要です。

特に、次回審査がいつ頃なのか、その時期を確認し、そこから逆算して必要な運用を進めることが基本となります。

また、ISMSの運用には、担当者単独で行うものだけでなく、他部署や他のメンバーと連携して行うものもあるため、実施計画を立てて関係者と共有しておくことが望ましいです。

⑶ISMS（ISO27001）を滞りなく継続運用すること

ISMSの規格内容を理解し、スケジュールを再構築して運用を再スタートできた後は、運用に漏れがないようにすることが最重要事項となります。

もし運用が未実施の項目があった場合、審査で不適合となる可能性があるため注意が必要です。

内部監査の時だけでなく、審査前にも運用ができているかを確認し、審査に備えるための時間を確保しておくと安心です。

3.引き継ぐ方へ！引き継ぎのポイント（前任者向け）

ISMS（ISO27001）の引き継ぎを行う側（前任者）の視点では、後任者が滞りなく運用を継続できるよう準備することが重要です。

⑴ISMS運用全体のイメージ資料を用意する

これまでのISMS（ISO27001）の活動を全て洗い出すことから始めます。

具体的には、スケジュールや運用一覧などの資料を用意し、後任者が運用の全体像をイメージできるようにしておくことがポイントです。

⑵規定だけでは難しい運用は一緒に実施する

情報リスクアセスメントや事業継続計画の訓練など、規定を見ただけでは実際の運用が難しい業務に関しては、実際に運用を一緒にやってみて引き継ぎましょう。これにより、後任者が直面する運用トラブルを回避することができます。

4.新任のご担当の方へ！引き継ぎのポイント（後任者向け）

新任のご担当の方（引き継ぎされる側）は、何から着手すべきか戸惑うことが多いとされています。

⑴一度手順を見ながら運用してみる

まずは、提供された手順や資料に基づき、一度手順通りに業務をやってみることが重要です。

最初は大変な作業かもしれませんが、これを実施することが業務理解の第一歩となります。

⑵継続のために手順を自分用に改善する

一度手順通りにやってみた後、やりやすいように自分で手順に手を加えていくことで、業務への理解が深まり、運用も継続できるようになります。

5.クラウドツールを活用し引き継ぎを効率化

ISMSの運用においては、「前任者も内容をわかっていないことが多く、後任に引き継ぎをしてもわからないままになりがち」といった、引き継ぎに関する苦労がお悩みランキングの上位に挙げられています。

このような課題に対し、クラウド型管理ツールを活用することで、引き継ぎ作業を大幅に効率化できます。

特にクラウド型ISMS管理ツール「ISMSアシスト」は、ISMS取得・運用にかかる手間とストレスを減らし、効率的な運用を可能にします。

誰でも運用できる体制の確立

ISMSアシストは、新規取得時や突然の担当変更で初めての方でも、やるべきことのタスクをステップに沿って進めることができ、社内の誰でもISMSを運用できるように支援します。

知識不足のサポート

タスクの入力画面ごとに、規格の要求事項とわかりやすい説明が記載されたドキュメントやWebページと連動しているため、ISMSの知識がない方でも運用が可能です。

一元管理とデータのスリム化

ISMS認証の取得・運用に関わるすべてをクラウドで一元管理し、データが整理・スリム化されるため、増え続ける書類やデータに悩むことなく、担当者が変わってもスムーズに情報にアクセスできます。

「突然、ISMS（情報セキュリティマネジメントシステム）の担当者になってしまった」「業務が属人化していて、引き継ぎが大変だ」といったお悩みをお持ちの方は、ぜひISMSアシストのご利用をご検討ください。

詳しくはこちらから

6.担当変更だけでも必要な手続きがあります

ISMSの担当者が変更になった場合、社内での引き継ぎだけでなく、事務的な手続きが必要となります。

⑴審査機関への連絡が必須

担当者が変わった際は、審査機関へ担当者変更の連絡を必ず行う必要があります。

⑵窓口変更の重要性

審査機関は登録企業の窓口情報を把握しているため、もし前任者が退職していた場合、重要な連絡が届かなくなる可能性があります。

⑶審査日程に関する連携

審査機関からはおおよそ審査の1か月前には日程の打診があります。

その際に、後任者が誰であるかを伝え、審査日程を確定するようにしましょう。審査日程や審査料の問い合わせについても、審査機関に連絡することで教えてもらえます。

7.まとめ

ISMS担当変更は、運用の継続性という観点から、企業にとって非常に重要な取り組みです。前任者の退職や異動に伴う引き継ぎが不十分だと、ISMSの運用が中断し、次回の審査で不適合となってしまうリスクがあります。

新任の担当者の方は、次の3点を意識して取り組みましょう。

1. ISMS（ISO27001）を深く理解すること
2. スケジュールを正確に把握すること
3. 滞りなく継続運用すること

また、前任者の方は後任者が全体のイメージを把握できるよう、運用資料の準備と、難しい運用は一緒に実践して引き継ぐことが鍵となります。

また、社内での引き継ぎだけでなく、審査機関への担当者変更の連絡という事務手続きも忘れてはなりません。重要な連絡が途切れないよう、窓口変更を速やかに行いましょう。

もし、引き継ぎ作業や日々の運用が属人化しておりお悩みの場合は、クラウド型ISMS管理ツール「ISMSアシスト」のようなツールを活用することで、誰でも運用できる体制を確立し、業務を大幅に効率化できます。