コンサルティング事例

ISO27001認証取得:他のマネジメントシステムとの文書共有・スリム化

認証取得企業の概要

  • サイト:本社(東京都)
  • 業 種:情報システム受託開発
  • 従業員:50人

1.企業ニーズ

  • (1) 同社は情報システムの受託開発をおこなっており、顧客の要請によりISO27001(ISMS;情報セキュリティ)認証取得をする必要があった。
  • (2) ISO14001(EMS;環境保全)、プライバシーマーク(PMS;個人情報保護)を取得しており、運用組織(適用範囲)も同一であったので、ISO27001認証取得にあたり、既存マネジメントシステムをベースにした文書のスリム化・共有化のニーズがあった。

2.実施内容

  • (1) システム構築、文書作成では、同社の既存文書をベースにして、コンサルタントがサンプルを作成し、文書の内容を検討した。
  • (2) 文書のスリム化・共有化にあたっては、ISMSとEMSはひとつの文書体系として策定し、運用が分かれることがないようにした。PMSについては制度が異なるので、情報セキュリティの規程についてのみISMSとの共有規程として策定した。(概念図参照)
  • (3) 文書作成の際に、EMSの環境側面や目標管理について、可能な限り手順を簡素化し、効率的な運用ができるように考慮した。
  • (4) ISMSとPMSで共有する情報セキュリティの規程については、ISO27001付属書Aの内容が、プライバシーマークに比べて具体的かつ多岐にわたるため、既存規程に詳細なセキュリティ対策を追記した。
  • (5) 新しいマネジメントシステムについては活動開始5ヶ月目から運用開始となり、7ヶ月目には内部監査、マネジメントレビューが行われた。内部監査のチェックリストやマネジメントレビューの記録についても、ISMSとEMSをひとつのマネジメントシステムとして実施できるように共有化した。

3.結 果

  • (1) 文書を共有化することにより、運用にムリ・ムダの無いマネジメントシステムの構築ができた。
  • (2) ISO27001登録審査(第2ステージ)については、ISO14001の定期審査と同時に実施し、審査コストの低減に寄与した。また、スリム化・共有化について、審査で高評価を得た。