見出し画像

ISMSとはなにか? 担当者向けの基礎知識

こんにちは、「ISMSをらくらく構築・運用」をテーマに、ISMSオートメーションツールを提供する SecureNavi Inc. の井崎です。

今回は、タイトルの通り「ISMS認証取得の担当者になったけど、どう進めたらよいかわからない!」という方をターゲットに、ISMS認証の取得プロジェクトを推進するための基礎知識をご紹介します。

ISMSの世界は専門用語も多くあり、初めてこの世界に足を踏み入れる方は迷子になりがちです。この記事では、そのような難しい用語も、できるだけわかりやすく説明することを心がけています。いきなり担当者として任命され、不安に感じているあなたが、はじめの一歩を踏み出すための地図代わりになれば幸いです。

もちろん、すでにISMS認証の取得を終え、運用フェーズに入っている担当者の方も、復習がてら読んでいただければと思います。既知の内容も多いと思いますが、なにか新しい気付きがあれば嬉しいです!

この記事は、大きく4つのステップに分かれています。上から順に読んでいただいても構いませんし、興味があるステップのみ読んでも構いません。気合を入れて書いたら1万字を超えてしまいました...お時間あるときに目を通していただけますと幸いです。

それでは、ISMSの世界へようこそ〜!

【ステップ1】ISMSとは結局何なのか?を理解する

Googleで「ISMSとは」と調べてみると、大量の参考になりそうなページが見つかります。ところが、それらの記事を開いてみると、やれ「マネジメントシステム」だの、やれ「機密性・完全性・可用性」だの、初心者の方にはとっつきにくい表現が並んでいるのが実情です。

いろいろな記事を読んでみても、いまいちよく理解できないので、公式ページを頼りにしようと思い、ISMS認証制度を運営している「情報マネジメントシステム認定センター」のWebページを確認すると、以下のように説明されています。そして多くの方が、分からなさすぎて絶望します。(出典はこちら

ISMSは、情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。

ということで、この記事では、もう少しわかりやすい説明に挑戦してみます。

ISMSとは「Information Security Management System」の略称です。日本語でいうと「情報セキュリティの管理の仕組み」とか「情報セキュリティ管理システム」と呼ばれることもあります。ここまではGoogle検索でも出てきます。知っている方も多いでしょう。

ところで、唐突な質問をしますが、あなたの会社では、お客様(顧客)をどのように管理しているでしょうか?多くの会社は、B2Bであれば、SalesforceやKintone、SAPなどのツールを利用して管理していると思います。ひょっとすると、Excelなどの表計算ソフトで顧客管理をしている会社もあるかもしれません。システムを内製している会社もあるでしょう。このように、多くの会社は、社内でお客様(顧客)を管理する仕組みを有しています。ご存じの方も多いと思いますが、この顧客の管理の仕組みのことを「顧客管理システム」と呼びます。

別の話をします。会社の人事部は、社内の従業員を管理する必要があります。数人の会社であればまだしも、多くの従業員がいる会社であれば、何らかのツール(これはExcelかもしれませんし、専用のツールかもしれません)を利用して、従業員を管理していることでしょう。新しい従業員が入社すれば、この管理システムに従業員を追加しますし、退職があれば、この管理システムから従業員を削除します。会社によっては、従業員の情報に紐付ける形で、評価や給与に関する情報を登録することもあるでしょう。このような従業員を管理する仕組みのことを「社員管理システム」とか「人事管理システム」などの名前で呼ぶようです。

これらの例以外にも、企業の社内には様々な管理システムが存在します。「販売管理システム」「営業管理システム」「問い合わせ管理システム」「在庫管理システム」「財務・会計管理システム」などです。これらのシステムを導入することで、自分の脳内だけでは管理しきれないものを適切に管理し、経営活動を効率化することができます。

もうお分かりかと思いますが、ISMS、つまり「情報セキュリティ管理システム」は、あなたの会社の情報セキュリティ(「情報セキュリティリスク」と言い換えてもよいでしょう)を管理する仕組みのことです。あなたの会社には、顧客管理システムで顧客を管理しているように、情報セキュリティのリスクを管理する仕組みはありますか?おそらく多くの会社が「NO」と答えるでしょう。当たり前です。ISMSの取り組みの前だからです。「社内にISMSの仕組みを作る」ということは「情報セキュリティのリスクを管理する仕組みを作る」ということと、ほとんど同義です。

あなたの身近な「管理システム」がない世界を想像してみてください。あなたが営業担当者であれば「顧客管理システム」がない世界を、人事担当者であれば「人事管理システム」がない世界を、それぞれ想像してみてください。おそらく、業務効率が大幅に低下し、現場は阿鼻叫喚になるでしょう。このように、私たちは身近な管理システムに慣れきってしまい、それがない世界を想像することすら難しいです。ISMSの担当者になったあなたは、会社に対して新しく「情報セキュリティ管理システム」を導入し、その管理システムが存在してることが当たり前の状況にすることがミッションとなります。

※【注】マネジメントシステムという言葉は多義語ですので、たとえばISOマネジメントシステムの観点からの説明を試みる場合は、上記の説明には違和感があるかもしれませんが、それでも本質としては大きくズレていないものと思っています。

【ステップ2】ISMS制度の仕組みを理解する

ISMSの雰囲気が何となくわかったところで、次に多くの方がつまずくのは、「で、結局ISMSを取得するって何?」「どのような手続きをすれば良いの?」ということです。なんとなく「書類を作成して、審査を受けないといけない」ということは分かるが、どこに申し込みをすればいいのか、どうやって審査してくれる所を見つけるのか、などの疑問をお持ちの方もいるでしょう。

このステップでは、ISMSの認証制度についてご紹介します。この制度のもとで審査を受け、審査に合格することで、「ISMS認証取得」という称号を手に入れることができます。経営者や上司から「ISMSの取得よろしく!」と言われたとき、それは「ISMSの認証制度に基づいて、ISMS認証を取得する」ということを意味していると考えて問題ないでしょう。

説明に入る前に、まずは用語を整理します。実は、ISMSのベテラン担当者であっても、これから紹介する用語を完璧に説明できる人はとても少ないです。それだけ用語はややこしいのですが、はじめにしっかり抑えておくと、このあとの話が理解しやすくなりますので、頑張って理解してください。

すでにISMSを取得し、今は運用フェーズに入っている担当者の方は、以下の用語をすべて説明できるかどうが、確認してみてください。

まずは、この4つを抑えましょう。

ISMS
先ほど説明しましたね。「情報セキュリティの管理の仕組み」のことです。
ISO/IEC 27001
ISMSを構築するために必要な事項をまとめた23ページの本です。英語で書かれています。購入できます(購入はこちら)。この本のことを「規格」と呼ぶことがあります。正式名称が長いので、たまに「ISO27001」と省略することがあります。
JIS Q 27001
英語で書かれた ISO/IEC 27001 を日本語に翻訳して発行した本です。英語だと読みにくいですからね。こちらも購入できます(購入はこちら)。翻訳しただけなので、ISO/IEC 27001 と中身は全く同じです。
ISMS認証制度
ISMSが一定の基準を満たしていることを、第三者(審査機関)が証明する制度です。一定の基準として「ISO/IEC 27001 に準拠していること」という基準が利用される事が多いです。

この4つの定義から「どうやらISMS認証を取得するには、審査機関からお墨付きを貰わないといけない」「審査機関からお墨付きをもらうには、ISO/IEC 27001の基準を満たしたISMSを構築しないといけない」といったことが読み取れます。

こんなイメージですね。

画像1

ここまで理解できたら、次は審査機関の話です。いったいどうやって審査機関を見つければよいのでしょうか?審査機関がいくつもある場合は、どのようにして選べば良いのでしょうか?

審査機関の正体を探るために、以下の単語も抑えておきましょう。

ISMS適合性評価制度
日本でもっとも有名なISMS審査制度です。ISMS-AC(正式名称は「情報マネジメントシステム認定センター」)という組織が運営しています。

またややこしい言葉が出てきたなぁと思われるかもしれません。わかりやすく例えると、映画の世界でいう「アカデミー賞」だと思ってください。映画の賞レースは色々あります。しかし、どうせ受賞するなら、アカデミー賞のような、有名で格式高い賞に受賞したいと思うでしょう。

ISMSの世界も同じです。ISMSの認証制度(賞レースのようなものです)は誰でも自由に創設することができますが、日本で一番有名なのが、ISMS-ACが運営する「ISMS適合性評価制度」と考えてください。なので、せっかくISMS認証取得するのであれば、この「ISMS適合性評価制度」の枠組みに基づいてISMS認証の取得を目指すことをおすすめします。

ある会社が、この「ISMS適合性評価制度」の枠組みに基づいてISMS認証を取得しているかどうかを、一瞬で見分ける方法があります。それは、その会社のISMSのマーク(正式には「シンボル」といいます)を確認することです。

著作権の都合で、この記事にマークを掲載することができませんが、このリンク(Google画像検索の結果です)を確認してください。見覚えのある方も多いと思います。このマークが「ISMS適合性評価制度」のマークです。アカデミー賞でいうオスカー像です(こころなしか似てますよね。偶然です)。

この「ISMS適合性評価制度」の枠組みに基づいて審査をしてくれる審査機関は、日本国内に27あります。アカデミー賞の例えを利用するなら、選考委員が27いるんだなと思ってください。この27の審査機関のどこかから審査を受けて、認証されることで、ISMS適合性評価制度の枠組みのもとでISMS認証を取得したとアピールすることができます。そして、上記リンクにて紹介したマークを利用することができます(27のうち、どこか1つの審査機関からOKをもらえば良い点については、アカデミー賞と違いますね)。

27の審査機関の一覧は、ISMS-ACのページから確認することができます。一方で、27もあるので、逆にどこの審査機関を選べば良いのか迷ってしまうと思います。実際、審査機関によって、品質の良し悪しや、審査費用の高い低いはあると言われています。このあたりは、大人の事情で記事として公開できないので、気になる方はお気軽にお問い合わせください!

1つ、大事なことを忘れていました。このISMS適合性評価制度の仕組みに基づいて審査を受ける場合、審査は1年に1回あります。初回の審査をクリアしたら終わりというわけではありません。ISMS認証を維持するためには、毎年定期的に審査を受け続ける必要があるので、そこにも注意が必要です(費用についてはステップ4で説明します)。

ここまで読んで、まだ頭の余裕がある人は、ぜひとも以下の用語も抑えてください。紛らわしい2単語ですが、これを抑えると、ISMSの業界の人との会話にもついていけるでしょう。

認定
ISMS-AC のような制度運営元(認定機関といいます)が、審査機関を認めること。審査機関は、認定を受けることで、初めて審査機関として認められます。
認証
認定を受けた審査機関が、組織を認めること。

こんな感じの全体像がイメージできたでしょうか?

画像2

ここまでの知識を抑えた方にとっては、以下のような表現はすべて間違った表現であることが分かっていただけるでしょう。

「ISMSを取得しました!」
ISMSは仕組みのことです。「顧客管理システムを取得しました」と言っているようなものです。

「ISO/IEC 27001を取得しました!」
「JIS Q 27001を取得しました!」

これらは本(規格)です。取得できるものではありません。

「ISMS認定を取得しました!」
認定は、認定機関が審査機関に対して行う行為です。これだとあなたの会社がISMSの審査機関になりますと言っているのと同じです。

正しくは以下のような表記がおすすめです。

「ISMS認証を取得しました」
「ISMS適合性評価制度に基づく、ISMS認証を取得しました」
「ISO/IEC 27001 を基準とした、ISMS認証を取得しました」

とか言いながらも、なんだかんだで正式な表現は長いので、業界の中の人でも「ISMS取得」と言ってしまうことがあります。厳密には間違った表現ですので、プレスリリースなどを掲載する場合は注意が必要です。

さて、認証制度の概要を一通りお伝えしたところで、少し余談をします。「ISMS適合性評価制度」以外の制度のもとで、ISMS認証を取得するケースもあります。すこし上に掲載したイラストでいうと、右側に1つ枠からはみ出ている審査機関から審査を受けるケースですね。どのようなケースがあるのでしょうか?

よくある例としては、以下の2つがあります。

安いコストでISMS認証を取得したいケース ISMS適合性評価制度の枠の外でISMS認証サービスを提供している審査機関の中には、審査費用が安いケースがあります。認証制度の知名度は一旦おいておいて「とりあえずISMS認証取得と言えれば良い!」(アカデミー賞じゃなくても「賞が取れました」が言えれば良い)と考えるケースもあるでしょう。

海外展開を考えているケース ISMS適合性評価制度はあくまで日本国内で有名な制度です。海外にはその国ごとに制度があるケースがあります。海外展開を重視する場合は、その海外の有名な制度に基づいた審査機関から認証を取得することがあります。

審査機関が単独で十分な実績を持っているケース アカデミー賞を受賞できなくても、映画界で有名な人から絶賛をいただければ、それだけで十分な実績に値することもあるでしょう。それと同じで「ISMS適合性評価制度」に基づかなくても、有名な審査機関にOKしてもらえれば、それだけで相当の箔がつくことも考えられます。

ISMS適合性評価制度は有名なので、その分難易度が高いのでは?と思う方もいるかも知れませんが、難易度はあまり変わらないと考えてもらっても大丈夫です。なぜなら、ISMS認証制度は、基本的にはどの制度でも、「ISO/IEC 27001」に基づいて審査が行われるからです。

少しだけ海外展開について補足します。イギリスだと「UKAS(ユーカス)」、アメリカだと「ANAB(アナブ)」という認定機関が運営する認証制度が有名なようです。このあたりは、私も正直あまり詳しくないので、これ以上の説明は控えますが、詳しい話が気になる人は、ぜひとも審査機関に確認してみてください。

これで、ステップ2の説明を終わります。

※【注】ISMS制度にお詳しい方なら、上記の説明以外にも、「IAFの話をしろ!」とか「プライベート認証という言葉を使え!」とおっしゃるでしょうが、この記事では詳解は控えます。

【ステップ3】本当にISMS認証が必要かを見極める

前述したとおり、ISMSは、企業の中に管理システムを新しく構築することになるため、それ相応の負担がかかります。およそ6ヶ月もの長い期間(このあとのステップでも説明しますが、ISMS認証取得にはおよそ6ヶ月かかります)、担当者の貴重な人的リソースをISMSに投下することになります。経営者や上司から「ISMS認証を取得しろ」と言われたとき、その理由を確認してみてください。場合によっては、ISMS認証でなくても良いケースがあります。

ISMS準拠でよくないですか?

「情報セキュリティレベルを強化したいからISMS認証を取得したい」というお声をよく伺います。本当に強化だけが目的ならば、認証取得ではなく、準拠で良くないか、確認してみましょう。

認証と準拠の違いについて説明します。まず、準拠とは「あるものに準ずる」ということです。ISMS準拠というと、一般的にはISMSの規格であるISO/IEC 27001(JIS Q 27001)に準拠している状況のことを言います。そして、認証とは、前のステップで説明したとおり、ある基準を満たしていることを第三者が認めることです。ISMS認証とは、ISO/IEC 27001 を満たしている(準拠している)ことを、審査機関に認めてもらうことです。

画像3

つまり、ISMS準拠は、ISMS認証を取得するための前提条件です。認証取得 = 準拠 + 審査クリア だと考えるとわかりやすいかもしれません。ISMS準拠している状態を、私はよく「審査レディ」と表現しています(造語です)。レディ(Ready)とは準備できているということなので、「審査レディ」とは、審査さえ受ければ、いつでも認証をGETできる状況ということです。

審査を受けると、審査の費用もかかりますし、通常審査は複数日に渡って行われますから、その間、担当者の通常業務は止まります。社内の情報セキュリティレベルを強化する目的なのであれば、「それって、わざわざ審査を受けなくても準拠で良くないですか?」「まずは、審査レディな状態を作るということで良くないですか?」と確認してみましょう。

(ステップ2を踏まえると「ISMS準拠」という言い方も、厳密には違っていますね。「ISO/IEC 27001準拠」というべきです。正式な表現は長いので許してください...)

SECURITY ACTION でよくないですか?

取引先やお客様など、対外的にセキュリティ体制をアピールしたいという理由でISMS認証を目指すケースがあります。その場合は、まず「SECURITY ACTION」という制度を検討してみてください。

これは、情報処理推進機構(IPA)が運営している制度です。ある一定基準を満たすことで、SECURITY ACTIONのロゴマークを、自社の名刺やWebページに記載し、お客様や取引先にアピールすることができる制度です。取り組みのハードルは、ISMSよりも圧倒的に低いです。

ロゴマークの利用イメージは このページ から確認することができます。「当社はセキュリティ体制の強化に取り組んでます!」とアピールしたいのであれば、このSECURITY ACTIONで十分かもしれません。

このあとのステップでも書きますが、ISMS認証の取得は6ヶ月程度の時間がかかります。一方で、このSECURITY ACTIONは、効率よく進めれば数時間〜半日で手続きまで終えてしまうことができます。かかるタイムスパンを考えても、圧倒的にSECURITY ACTIONが有利です。

しかし、信頼度としてはISMSより劣るのは確かです。取引先から、SECURITY ACTIONでは不十分だからISMS認証を取得してほしいと言われるケースもありますし、自治体などの入札要件ではISMSが必須になっており、SECURITY ACTIONであれば要件を満たさないこともあります。このあたりに注意しつつも、SECURITY ACTIONは非常にコスパが良い制度ですので、検討に値するでしょう。

上記を踏まえると、どうしてもISMS認証取得が必要になってしまうケースとして、以下のようなケースがあります。

・取引先や顧客から、明示的に「ISMS認証の取得」が求められている場合
・情報セキュリティ体制の構築も、取引先や顧客へのアピールも、両方叶えたい場合
・情報セキュリティ体制を構築し、審査機関のような第三者の視点から客観的にチェックしてもらいたい場合

これらに当てはまる場合は、ISMS認証取得のプロジェクトを進めていきましょう。

【ステップ4】QCDを考え経営陣や上司と期待値調整する

「QCD」とは、主に生産管理やプロジェクトマネジメントで利用される言葉です。Quality(品質)・Cost(コスト)・Delivery(納期)の頭文字をつなげた造語です。QCDの3つの要素をすべて完璧にすることは非常に難しい、つまりは、素晴らしい品質で、コストも安く、納期も最短で、物事をなすのは難しいという文脈でしばしば使われます。

ISMSプロジェクトもこの原則が当てはまります。優れたISMSを、安いコスト(金銭的なコストはもちろん、人的なコストも含みます)で、かつ最短で認証取得することは至難の業です。では、一体どれを、どの程度重視すればよいのでしょうか。そもそもISMSにおけるQCDとは何でしょうか?順を追って説明します。

ISMSにおける品質(Quality)

ISMSの目的の1つは、情報セキュリティレベルを向上させることです。そのため、ISMSの品質が良いとは「自社の情報セキュリティレベルが向上する仕組みが構築できていること」だと考えれば良いでしょう。QCDのうち、C(コスト)とD(納期)を重視し、Q(品質)を軽視すると、ISMSが形骸化し、肝心のセキュリティレベルの向上がおろそかになってしまいます。

具体例をあげます。以下のようなISMSは、品質が良いISMSと言えるでしょう。

・社内のリスクがきちんと特定、分析、評価されており、そのリスクへの対応方法や時期について、経営陣と担当者との間で合意が取れている

・情報セキュリティ教育が有効に機能しており、新卒や中途入社などの入社時期や、ITスキルに関わらず、全員が一定以上のセキュリティレベルを保持している

・情報セキュリティインシデントならびにその徴候があった場合は、速やかにエスカレーションや一次対応が行われ、再発防止やその有効性確認の実施までが仕組み化(not 属人化)され、実施されている

・ISMSの取り組みが情報セキュリティレベルのUPに繋がり、年々セキュリティレベルが向上している

一方で、以下のようなISMSは、品質が悪いISMSといえます。

・審査のためだけの文書や記録が多く存在しており、改定したところで、社内のセキュリティレベルの向上に寄与しない

・最新の情報セキュリティ事情がキャッチアップできておらず、数年〜数十年前のルールがそのままずっと利用されている

・ISMSの仕組みと、自社のセキュリティ向上の取組みが一致していない(例えば、ISMSの枠組みに基づかず、勝手に入退室管理の仕組みやセキュリティソフトの導入が進んでいる)

・ISMSに取り組んでいるのに、セキュリティレベルが上昇している気がせず、インシデントが頻発し、度々お客様に迷惑をかけている

例を見てもらえばわかるように、可能であれば良い品質のISMSを構築したいものです。しかし、色々な事情により、やむを得ず品質を諦め、コストと納期を重視するケースもあると思います。そのような事情を否定する気はありませんが、その場合、ISMSを構築したとしても、情報セキュリティレベルの向上が期待できないことに注意が必要です。

品質を諦める場合は「ISMSをせっかく構築したのに、情報セキュリティレベルが全然上ってないやん!」「ISMSを数年やっているのに、インシデントが頻発してお客様に迷惑かけまくり!」と非難される覚悟が必要です。結果として、社内での遵法意識の低下やモラルハザード、取引先からの信頼低下や、インシデントに伴う損害賠償請求を引き起こす可能性が増加します。

ISMSにおけるコスト(Cost)

コストについては、金銭コストと人的コストの2つを考慮する必要があります。まずは金銭コストについてお話します。ISMSの1年目にかかる金銭コストは、大きく2つと考えてください。「支援費用」と「審査費用」です。

支援費用についてお話します。これは、ISMSのコンサルタントにISMS構築を手伝ってもらったり、ISMS構築ツールを利用したりする場合に発生する費用です。おおよそ相場は、コンサルタントで50〜300万円、ISMS構築ツールはそれより安いと考えてください。外部のリソースを借りずに自社で取得を目指すケースも考えられますが、その場合、支援費用は0円です(ISMS未経験者が自社取得を目指すのは非常に難しいですので、おすすめはしていません)。

次に審査費用です。これは、ISMS認証の取得を目指す場合は、0円にすることはできません。ステップ2でも説明しましたが、27ある審査機関から1つを選択して審査を受ける必要があります。その際に、審査機関に審査料を支払う必要があります。

審査費用については、これから認証を取得する組織の規模や業種、拠点の数、取り扱う情報の量などによってまちまちです。例を上げると、社員数が50人くらいのIT企業、拠点数は1拠点を想定すると、初回審査は80〜100万円前後、2年目以降の審査で30〜40万円前後くらいでしょうか。審査機関に見積もりの発行を依頼することができますので、社内での予算取りの前に、事前に見積を取得しておくことをおすすめします。

さて、金銭コストについてお話しましたが、ISMSのコストと聞いて忘れてはいけないのが、人的コストです。お金だけ払えば認証が取れるわけではなく、きちんと社内の人間が時間を使って、必要な取り組みを行う必要があります。これも、どの程度の品質・納期を求めるのかによって変わってきますが、担当者がISMS構築に必要な時間は、コンサルタントやISMS構築ツールを使うことを前提にすると、トータルで100時間程度かなぁという印象があります。ISMS認証取得の取り組み期間は、平均的には6ヶ月程度ですから、1ヶ月の営業日を20日とすると、営業日数は120日、つまり、1営業日あたり1時間弱ほど、ISMSに時間を掛ける必要があるイメージです。このあたりは、依頼するコンサルティング会社のスタイルや、ISMS構築ツールの仕様によって変わってくる部分なので、あくまで例であることに注意が必要です。金銭コストに変換するなら、人件費を1時間あたり5000円と考えると、おおよそ50万円程度でしょうか。また、ステップ2でも説明したとおり、審査は毎年やってきますし、ISMSは継続的に維持改善していくものなので(ステップ1の例えを借りると、顧客管理システムの構築だけして、その後運用しないなんてありえないですよね?)、認証取得後も継続的にリソースがかかることに注意が必要です。

ISMSにおける納期(Delivery)

納期とは、ISMS認証の取得までにかかる時間のことだと考えてみます。期間についての説明は非常にシンプルです。「平均6ヶ月で最短4ヶ月。ただし、最短4ヶ月を選べば品質とコストが爆発します」と考えてください。たまに「なんとか3ヶ月で取れないですか...」と言われますが、こればかりは審査の仕組み上、非常に難しいです。取引先からの取引条件や入札要件に含まれている場合は、早め早めにISMS認証の取得に向けて動く必要があります。

また、ISMSプロジェクトではなく、あらゆるプロジェクトに共通して言えることですが、スケジュールのバッファ(余裕)を考えることは非常に大切です。平均6ヶ月という数字を真に受けて「6ヶ月で取れます」という確約をしないほうが良いです。プロジェクトには不確実性がつきものです。ISMSプロジェクトに限定した話をすると、審査中に重大な欠点が見つかり1ヶ月後に再審査になってしまったり(コンサルやツールを使っている場合は、ほぼありません)、審査機関が繁忙期で認証書の発行までに想定外の時間がかかったり(結構あります)、いろいろな不確実性がありますので、1ヶ月程度の余裕を見ておいたほうが良いと思います。7ヶ月といっておきながら、結果として6ヶ月で認証が取得できれば、儲けものですね!ナイスなプロジェクトマネジメントです!

QCDに関する説明は以上です。経営陣や上司からなんとなく「ISMSよろしく」と言われたときには、「QCDをすべて完璧にすることはできません。品質を妥協しますか?予算をしっかり割いてもらえますか?あるいは期間を長めに考えても良いですか?あるいは全部ほどほどでやります?」などと相談してみてください。

おわりに - おすすめのネクストステップ

以上、4つのステップに分けて、ISMS認証取得プロジェクトの基礎知識をまとめてみました。トータルで10,000字オーバー!これだけ読めば、あなたもISMS認証取得プロジェクトについて、ある程度語れるようにはなっているでしょう。

この記事を読み終わったあと、何をすべきでしょうか?あなたにおすすめのネクストステップを紹介します。

セミナーに参加しましょう 多くのISMS支援会社や審査会社が、ISMSの認証取得を目指す会社に向けたセミナーを開催しています。Web開催のセミナーや、無料で受講できるセミナーも多くあります。Googleで「ISMS セミナー」などと検索して、セミナーに参加し、より多くの情報を得ましょう。

支援会社に問い合わせしてみましょう コンサル会社や、弊社のようなISMS構築ツールを提供する会社に問い合わせて、ぜひとも営業を受けてみてください。ISMSの業界の中の人と1時間会話するだけでも、自分の理解の解像度を上げる事ができます。

また宣伝で恐縮ですが、弊社のWebページを置いておきます。TwitterのDMから、直接連絡頂いても大丈夫です!カジュアルなご相談でも構いませんので、お問い合わせお待ちしております!

宣伝だけでは気がひけるので、以前作成した「ISMS取得・運用支援カオスマップ」もおいておきます。ここから、気になった支援会社にお問い合わせしてみるのも良いでしょう。

あまりおすすめではないネクストステップを紹介します。

本を読んでみる 「おすすめではない」というと語弊がありますが、ISMS系の本は結構難しいです。なかなか初心者にとってはハードルの高い表現が多く並んでいます(市販の書籍の難解さは、私がこの記事を書くきっかけにもつながっています)。挑戦してみても良いですが、本の内容のうち、30%くらい理解できればいいかなぁくらいの軽い気持ちで読んでおくことをおすすめします。

ISMSの取り組みを一旦塩漬けする 会社にとって短期的な利益に結びつかない取り組みが先延ばしにされるという現象は、しばしば発生します(そして多くの場合、そのまま忘れられてしまいます)。会社で取り組む事項の優先順位付けには様々な議論があると思いますが、基本的には、ISMSのような仕組み導入系のプロジェクトは、できるだけ早期に取り組んでおくことをおすすめします。100人の組織にISMSイズムを植え付けてから1000人の組織にスケールさせるのと、1000人の組織にISMSイズムを植え付けるのは、前者のほうが圧倒的に楽です。一旦仕組み化してしまえば、あとはメリットしかありませんので、思い立ったが吉日、今の段階で、ステップ2で説明した「審査レディ状態」でも構わないので、前に進めておくのがおすすめです!一旦塩漬けにしたあとに、「取引先の急な都合で、3ヶ月でISMS取る必要が出てきたのですが、なんとかなりませんか?助けてください!」という相談は勘弁してください...

なお、ISMSに取り組むべき適切なタイミングについては、以下の記事でも少しだけ触れていますので、よろしければご確認ください。

以上です。ここまで読んでいただいた皆様、ありがとうございました!

「スキ」をいただけたり、TwitterなどのSNSで拡散・感想をもらえるととても嬉しいです!

この記事が気に入ったらサポートをしてみませんか?