皆様の会社では、ISMS規格改訂対応は順調に進んでいますか?
「どうやらうちの会社で取得しているISMS の枠組みが変わるらしい。だが、具体的に何をすればいいのか…」と途方に暮れている担当者の方も多いのではないでしょうか。
LRMに寄せられるお客様からのご質問でも、「何をすればよいのかわからない」といったお声が圧倒的に多いです。
では、規格改訂に対応する、とは、担当者は具体的にすればいいのでしょうか?
担当者の仕事は「書類との格闘」です!
規格改訂対応といっても、もう一度、全てを1から作り直す必要はありません。
簡単に言ってしまうと、「ISO/IEC27001:2005(JIS Q 27001:2006)」で用いた文書を、「ISO/IEC27001:2013(JIS Q 27001:2014)」に沿うように調整するだけです。
ただし、規格改訂に伴って「新しい対策(管理策)」を検討する必要が生じますが、その結果によっては、現場に影響がでる可能性があります。例として、社内でシステム開発などを行っている会社は「開発標準の作成」等が必要になるケースもあります。
また、文書管理そのものに言及すると、社内で取り扱っている規程類において、規格の項番や管理策の項番と連動された仕様になっている場合は注意が必要です。
つまり、規格改訂に伴って、規程の項番自体が変わっていますので、項番それぞれで変更する必要の有無を見極める必要が生じます。
規格改訂対応の進め方:社内の規程を全て見直そう!
規格改訂の進め方には、大きく2つのパターンが存在します。
一つ目が、今回の規格改訂を機会に、社内の規程類の見直しを行う、管理しやすいように規程類を一新する、というやり方です。
当然ですが、作業量としては膨れ上がります。しかし、見直し等は継続して続ける必要がありますし、前任者が定めた文書が「ややこしい」「管理しづらい」という実感をお持ちの場合は、このタイミングで使いやすく改善することによって、今後の作業負担が軽減されるというメリットがあります。
規格改訂対応の進め方:改訂対応にのみ注力しよう!
もう一つのやり方が、今回は、規格改訂の範囲内で、改訂対応だけに注力するというものです。
規格改訂のための必要最低限の対応に留め、規程類の刷新などは今後の宿題として扱うことで、喫緊の作業量としては圧縮されます。
現在の規程類を全て見直すとなると、サクッと対応できる内容ではありませんので、あれもこれも対応に費やす時間と労力がない、という場合は必然的にこちらのパターンになります。
LRMへ寄せられるご相談も、「まずは改訂対応をのみお願いしたい」といったケースが多いですね。
おまけ
ちょっと規格改訂対応に踏み込んだお話をすると、追加された管理策への対応が重要になります。これまでの規程では見たことのない内容の管理策が追加されていますので、新規に検討する作業が必要になりますし、それに伴い、適用宣言書も検討する必要が生じます。
細かいところを挙げるときりがありませんが、まず何よりも、ドタバタな規格改訂対応になってしまうことがないよう、情報収集や実際の作業時間の見通しなどを行い、余裕を持ったスケジュールを作成しておきましょう。