ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)はもっと簡単に運用できる!7つの簡単ポイント

2021年3月23日

ISMS(ISO27001)はもっと簡単に運用できる!7つの簡単ポイント

ISMS(ISO27001)は簡単ではない、運用は難しいと考える方が多いのではないでしょうか。ISO27001を簡単に運用するコツは、最初から完璧を目指さないことです。本気記事では、ISMS(ISO27001)をもっと簡単に運用する7つのポイントを紹介していきます。

1.ISMS(ISO27001)運用が難しいと感じるのか?

ISMS(ISO27001)の運用が難しいと感じる理由は、

・具体的な程度が書かれていないから分かりにくい
・経験者がいない

の2点が主ではないでしょうか。

どこまでやっていれば審査で問題がないのか、
どこまでやるとやりすぎなのかの判断がつかないことが、
ISMS(ISO27001)の運用を難しくしています。

⇒ISMS(ISO27001)審査の準備のポイント、審査前に気をつけることについてはこちらの記事で詳しく説明しております。

2.手間がかからない簡単なISMS(ISO27001)運用

ここからは、ISMS(ISO27001)の運用をもっと簡単にするコツを紹介していきます。

1)簡単なA8.1情報資産の洗い出し

最初から、全部を書き出そうと思って情報資産の洗い出しをするのをやめましょう。
1日1つ見つけたものから書いていこうぐらいから始めたほうが楽だと思います。
そのペースでも、1か月たてば20個以上見つかる計算です。
また、現時点の100点になることを目指しても、明日にはそれが100点ではありません。
情報資産は日々変化するからです。

また、洗い出しをする際にある程度のカテゴライズをすると良いでしょう。
情報、ハード、ソフト、クラウド、みたいなカテゴリーで考えると洗い出しがスムーズにできます。

2)簡単な6.1.2情報セキュリティリスクアセスメント

実際に組織内で重要だと思っている資産、リスク、がきちんと評価されるようなアセスメント評価基準にしておくことが大切です。
既成のひな形やコンサルタントの言うままの基準で評価を進めると、
実際に重要だと思っている資産や対策打たなければならないと思っているリスクが
重要事項として選ばれず、結果としてリスクアセスメントがやりづらくなります。
情報セキュリティとは?

3)簡単な6.1.3情報セキュリティ対応

情報セキュリティ対応に関しては、現実にあったリスク対応計画にしましょう。
当たり前のことだと思われるかもしれませんが、
ISMS(ISO27001)だからこんなことをいれておかないといけないと思い込んでしまって、実際にできることと違うことを書いてしまうなど、
無理して実施しようとしないことです。

4)簡単なA18.1法的及び契約上の要求事項の順守

法的及び契約上の要求事項は当然のことながら守らないといけません。
ただし、100%最新の状態を抑えることは難しいので、
見直し頻度を決める、要求事項が改訂されたら情報が手に入るようにしておく、
等の準備をしておけば、常に気にしておく必要はありません。

法改正情報を送ってくれるようなサービスもあるようです。

5)簡単な7.2力量、A7.2.2情報セキュリティの意識向上、教育及び訓練

情報セキュリティの意識向上、教育及び訓練については、一気にいくつものことを伝えたり、教育するのはやめましょう。
1回の教育で1つのことを伝えるつもりでやるのが良いと思います。
多くても3つを目安にしましょう。

6)簡単な9.2内部監査

内部監査は、1日で全部実施するようなやり方は避けましょう。
ISMS(ISO27001)の内部監査の進め方について詳しく知りたい方はこちら

特に拠点や部署が多いところは、月1回2時間を1年間やれば、
12回24時間できます。

極端なやり方かもしれませんが、
内部監査計画の時点で、無理のない計画を立てることが簡単な実施につながるはずです。

7)簡単な9.3マネジメントレビュー

マネジメントレビューなので組織のトップと実施することになりますが、ネックになるのはトップのスケジュール確保です。
対面で実施しようとしてしまい、トップがなかなか捕まらないことが多いです。

マネジメントレビューは、今ではビデオ通話や電話でも実施が可能なので、物理的な距離がありながらも実施できる方法で実施しましょう。
極端な話、メールのやり取りでも良いかと思います。
大事なのはトップにインプットして、アウトプットをもらうことです。

3.簡単なISMS(ISO27001)の運用を始めるためのポイント

最低ラインと理想ラインを把握した上で、自社が目指すべき程度を決めて、運用にかかるようにしましょう。
このラインを把握せずに運用をすると、自社の考えるセキュリティに関する理想も超えて、やりすぎてしまうことが多いです。
なぜなら、審査に落ちたくない、落ちないようにする動きをしてしまうためです。
取得をするときや運用初めのときなどは、特に最低ラインを理解して、それを超えることを優先してはいかがでしょうか。

ISMS新規認証取得・運用について詳しく知りたい方はコチラ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。