ISO27001規格担当コンサルタントへのインタビュー

在宅勤務の推進によるWeb業務対応が増加しています。企業内情報や顧客情報等の管理を強化し、効率的な管理が求められています。

これらの要求に対応するためにISO27001の要求事項に適合させることが企業経営に強く求められ、認証取得を行う企業が急増しています。

今回、同規格の弊社主担当のコンサルタントが、同規格導入での注意点、テクノソフトのコンサルティングの方法、特徴について説明いたします。

①規格導入での注意点は？

情報セキュリティとは会社が保有する情報について、その価値に見合った取り扱いをすることです。

セキュリティソフトや暗号化など情報システムや技術について注目されることが多いですが、情報を取り扱う一人ひとりが、「業務で取り扱う重要な情報は何か？」「会社が定める重要な情報と認識が同じか？」「重要なレベルに応じた取り扱いができているか？」といった点について、明確に理解させ実行する仕組みづくりを目指すことが重要です。

②テクノソフトの同規格のコンサルティングの特徴、アピールポイントは？

認証取得していただくことは当然のことですが、グループ全体に適用されるセキュリティルールがあったり、情報システムの管理を全て外部に任せていたりと、お客様それぞれに環境は異なります。

支援ではできるだけ個々の事情やニーズに合うように既存のルールやシステムの環境はできるだけ変更せず、マネジメントシステムとして運用できるようにしています。

もちろん、セキュリティ対策についてルールがない、もしくは文書化はできていなくても、文書サンプルを参考にしていただき、担当者様の負担が大きくならないように支援をしています。

その他、ご要望に応じて、ISO規格解説や内部監査教育などの教育・訓練にも対応しています。

③同規格のコンサルティングで特に気を付けて対応している内容は？

ISO27001認証取得後も、ISMS（情報セキュリティマネジメントシステム）の運用は継続するので、シンプルで煩雑な管理とならない仕組みづくりを心掛けています。

継続して運用していくためには、適切な役割分担とシンプルな仕組みであることが、重要なことだと思っています。

④同規格のコンサルティングで、取得企業様へ感じられているところは？

情報セキュリティの分野は、変化のスピードが速いので、環境の変化に応じてルールの見直しをタイムリーにする必要があります。

支援を担当させていただいた企業様が、すべて、認証取得後のレベルアップにまじめに取り組んで頂けているので、うれしく思っています。

⑤その他に、同規格にISMSに関わっている各企業の担当者様へメッセージや、日頃気になっている事についてのコメントがあればお願いします。

ISO27001は、セキュリティソフトやオートロック設備の導入など、ソフトやハードのレベルや機能について具体的な要求はありません。情報の価値に見合った取り扱いをするのが情報セキュリティなので、推進担当の方は、自社の身の丈に合った実効性のある管理の方法を検討してください。

ISMS運用当初は、利用者が注意して取り扱うなどリスクの高い場面もあるかもしれませんが、継続的改善の取組みの中で適切にレベルアップを図っていくのがマネジメントシステムですし、認証取得後に改善ツールとしていかに使いこなすかが重要です。

ISMSの改善は、適切なルールの追加だけではなく、簡素化したり、意味が無くなればやめたりすることも含まれます。文書やルールのスリム化などのお悩みは、私たちコンサルタントに是非、ご相談いただければと思います。

インタビューのコンサルタント
岡田　敏靖（おかだ　としやす）
情報セキュリティー関連規格での支援実績、60社以上。
ISO9001、ISO14001、ISO27001、ISO20000、プライバシーマーク等も担当