1. /
  2. /
  3. ISO27001 コンサルティング事例

ISO27001 コンサルティング事例

             

ISO取得:ISO27001取得とISO9001リフォーム(統合システム)の支援事例

「品質マネジメントシステム問題点改善と情報セキュリティマネジメントシステムの導入」

認証取得企業の概要

  • サイト:東京、大阪 2拠点
  • 業種:情報システム運用、保守業務
  • 従業員:約50名
  • 支援期間:約1年(支援開始から登録まで)
  • 認証規格:ISO9001登録、10年以上運用

1.企業様の状況、ご要望

依頼先様は、ISO9001取得から10年経過。今回、顧客要望でISO27001の取得をご検討。事前に確認したとこと先に取得した品質マニュアルが現在の業務内容との齟齬が発生しており、運用上のメリットが出せていない状況でした。

2.ISO9001,27001統合支援の実施内容

今回の情報セキュリティマネジメントシステム導入に合わせ、まず

・品質マニュアルの改善、スリム化を実施
問題点の抽出、下位文書(規定、手順書等)の再見直し

・ISO27001統合マニュアル作成支援
企業様の強いご要望により対応

・構築後は、内部監査員の養成、

・マネジメントレビューの立会
(お客様の強いご要望)後支援開始から、

・支援開始から、6ヶ月でISO9001再構築、ISO27001構築が実施、3ヶ月の運用を経て、12ヶ月目に無事登録となりました。

3.当社担当コンサルタントのコメント

登録時の担当者様が退職したため、当時の状況を先方社内で把握している社員様が不在で会社の現状分析、問題点の抽出から始めました。後任の社員様の意識も高く、支援に協力的で、現状業務に適うシステム再構築と新システム導入が実施できたと思います。

今回の支援によりISOの理解が深まったことで、新規格のISO27001取得に対する理解も早く、支援の後半からはスムースな支援が実施できたと思います。

4.支援先担当者からのコメント

現状のISO9001規格を良く理解せず、前任者に言われるがままでの対応していました。そのため実施内容の意味が分からず、正直なところ業務に役立つものとは思えませんでした。今回のコンサルタント様は、ISO基本内容、その意味を丁寧に説明いただき、また独自の業務フローを作成し、弊社業務とISOのつながりが明確になり、問題点の抽出が行いやすくなりました。その結果、以後のISO活動、以後の審査でも問題なく対応が行えました。ありがとうございました。

 

             

ISO27001規格担当コンサルタントへのインタビュー

在宅勤務の推進によるWeb業務対応による企業内情報、顧客情報等の管理の強化、また増大する情報の効率的な管理が今後より求められ、必要性が高まりつつあります。
これらの要求に対応するためにISO27001の要求事項に適合させることが企業経営に強く求められ、認証取得を行う企業が急増しています。
今回、同規格の弊社主担当のコンサルタントが、同規格導入での注意点、テクノソフトのコンサルティングの方法、特徴について説明いたします。

①規格導入での注意点は、

情報セキュリティとは会社が保有する情報について、その価値に見合った取り扱いをすることです。
セキュリティソフトや暗号化など情報システムや技術について注目されることが多いですが、情報を取り扱う一人ひとりが「業務で取り扱う重要な情報は何か?」「会社が定める重要な情報と認識が同じか?」「重要なレベルに応じた取り扱いができているか?」といった点について、明確に理解させ実行する仕組みづくりを目指すことが重要です。

②テクノソフトの同規格のコンサルティングの特徴、アピールポイントは、

認証取得していただくことは当然のことですが、グループ全体に適用されるセキュリティルールがあったり、情報システムの管理を全て外部に任せていたりと、お客様それぞれに環境は異なります。
支援ではできるだけ個々の事情やニーズに合うように既存のルールやシステムの環境はできるだけ変更せず、マネジメントシステムとして運用できるようにしています。
もちろん、セキュリティ対策についてルールがない、もしくは文書化はできていなくても、文書サンプルを参考にしていただき、担当者様の負担が大きくならないように支援をしています。
その他、ご要望に応じて、ISO規格解説や内部監査教育などの教育・訓練にも対応しています。

③同規格のコンサルティングで特に気を付けて対応している内容は、

ISO27001認証取得後も、ISMS(情報セキュリティマネジメントシステム)の運用は継続するので、煩雑な管理とならない仕組みづくりを心掛けています。
継続して運用していくためには、適切な役割分担とシンプルな仕組みであることが、重要なことだと思っています。

④同規格のコンサルティングで、取得企業様へ感じられているところは、

情報セキュリティの分野は、変化のスピードが速いので、環境の変化に応じてルールの見直しをタイムリーにする必要があります。
支援を担当させていただいた企業様すべて、認証取得後のレベルアップにまじめに取り組んで頂けているので、うれしく思っています。

⑤その他に、同規格にISMSに関わっている各企業の担当者様へメッセージや、日頃気になっている事についてのコメントがあればお願いします。

ISO27001は、セキュリティソフトやオートロック設備の導入など、ソフトやハードのレベルや機能について具体的な要求はありません。情報の価値に見合った取り扱いをするのが情報セキュリティなので、推進担当の方は、自社の身の丈に合った実効性のある管理の方法を検討してください。
ISMS運用当初は、利用者が注意して取り扱うなどリスクの高い場面もあるかもしれませんが、継続的改善の取組みの中で適切にレベルアップを図っていくのがマネジメントシステムですし、認証取得後に改善ツールとしていかに使いこなすかが重要です。
ISMSの改善は、ルールの追加だけではなく、簡素化したり、意味が無くなればやめたりすることも含まれます。文書やルールのスリム化などのお悩みは、私たちコンサルタントに是非、ご相談いただければと思います。

インタビューのコンサルタント
岡田 敏靖(おかだ としやす)
情報セキュリティー関連規格での支援実績、60社以上。
ISO9001、ISO14001、ISO27001、ISO20000、プライバシーマーク等も担当
Certified Security Basic Master:CSBM