2021年3月23日
ISMS(ISO27001)は簡単ではない、運用は難しいと考える方が多いのではないでしょうか。ISO27001を簡単に運用するコツは、最初から完璧を目指さないことです。本気記事では、ISMS(ISO27001)をもっと簡単に運用する7つのポイントを紹介していきます。
1.ISMS(ISO27001)運用が難しいと感じるのか?
ISMS(ISO27001)の運用が難しいと感じる理由は、
・具体的な程度が書かれていないから分かりにくい
・経験者がいない
の2点が主ではないでしょうか。
どこまでやっていれば審査で問題がないのか、
どこまでやるとやりすぎなのかの判断がつかないことが、
ISMS(ISO27001)の運用を難しくしています。
ISMS(ISO27001)審査の準備のポイント、審査前に気をつけることについてはこちらの記事で詳しく説明しております。
2.手間がかからない簡単なISMS(ISO27001)運用
ここからは、ISMS(ISO27001)の運用をもっと簡単にするコツを紹介していきます。
1)簡単なA8.1情報資産の洗い出し
最初から、全部を書き出そうと思って情報資産の洗い出しをするのをやめましょう。
1日1つ見つけたものから書いていこうぐらいから始めたほうが楽だと思います。
そのペースでも、1か月たてば20個以上見つかる計算です。
また、現時点の100点になることを目指しても、明日にはそれが100点ではありません。
情報資産は日々変化するからです。
また、洗い出しをする際にある程度のカテゴライズをすると良いでしょう。
情報、ハード、ソフト、クラウド、みたいなカテゴリーで考えると洗い出しがスムーズにできます。
2)簡単な6.1.2情報セキュリティリスクアセスメント
実際に組織内で重要だと思っている資産、リスク、がきちんと評価されるようなアセスメント評価基準にしておくことが大切です。
既成のひな形やコンサルタントの言うままの基準で評価を進めると、
実際に重要だと思っている資産や対策打たなければならないと思っているリスクが
重要事項として選ばれず、結果としてリスクアセスメントがやりづらくなります。
⇒情報セキュリティとは?
3)簡単な6.1.3情報セキュリティ対応
情報セキュリティ対応に関しては、現実にあったリスク対応計画にしましょう。
当たり前のことだと思われるかもしれませんが、
ISMS(ISO27001)だからこんなことをいれておかないといけないと思い込んでしまって、実際にできることと違うことを書いてしまうなど、
無理して実施しようとしないことです。
4)簡単なA18.1法的及び契約上の要求事項の順守
法的及び契約上の要求事項は当然のことながら守らないといけません。
ただし、100%最新の状態を抑えることは難しいので、
見直し頻度を決める、要求事項が改訂されたら情報が手に入るようにしておく、
等の準備をしておけば、常に気にしておく必要はありません。
法改正情報を送ってくれるようなサービスもあるようです。
5)簡単な7.2力量、A7.2.2情報セキュリティの意識向上、教育及び訓練
情報セキュリティの意識向上、教育及び訓練については、一気にいくつものことを伝えたり、教育するのはやめましょう。
1回の教育で1つのことを伝えるつもりでやるのが良いと思います。
多くても3つを目安にしましょう。
6)簡単な9.2内部監査
内部監査は、1日で全部実施するようなやり方は避けましょう。
ISMS(ISO27001)の内部監査の進め方について詳しく知りたい方はこちら
特に拠点や部署が多いところは、月1回2時間を1年間やれば、
12回24時間できます。
極端なやり方かもしれませんが、
内部監査計画の時点で、無理のない計画を立てることが簡単な実施につながるはずです。
7)簡単な9.3マネジメントレビュー
マネジメントレビューなので組織のトップと実施することになりますが、ネックになるのはトップのスケジュール確保です。
対面で実施しようとしてしまい、トップがなかなか捕まらないことが多いです。
マネジメントレビューは、今ではビデオ通話や電話でも実施が可能なので、物理的な距離がありながらも実施できる方法で実施しましょう。
極端な話、メールのやり取りでも良いかと思います。
大事なのはトップにインプットして、アウトプットをもらうことです。
3.簡単なISMS(ISO27001)の運用を始めるためのポイント
最低ラインと理想ラインを把握した上で、自社が目指すべき程度を決めて、運用にかかるようにしましょう。
このラインを把握せずに運用をすると、自社の考えるセキュリティに関する理想も超えて、やりすぎてしまうことが多いです。
なぜなら、審査に落ちたくない、落ちないようにする動きをしてしまうためです。
取得をするときや運用初めのときなどは、特に最低ラインを理解して、それを超えることを優先してはいかがでしょうか。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ