ISMSやPマークを取得すべく社内のルールを整備し、情報セキュリティ体制を構築した。
ここからPDCAサイクルを効果的に回して、改善を重ねてゆきたい。
しかし、認証取得当初はがんばって運用していたのに、だんだんと社内の負担が大きくなってきている・・・

このようなお悩みを、特にISMSやPマークを長期的に運用している企業様からいただくことがあります。

そこで今回は、ISMSやPマークを継続運用していく上で陥りがちな行き詰まりのパターンと、その解決策についてご紹介いたします。

パターン1

従業員が10名前後の時期にISMS認証を取得した。当時は、ISMSの取り組みには、代表者の承認を得るようなルールにしていた。しかし、組織が次第に大きくなってきた現在、いちいち代表者の承認を必要とする流れだと業務が滞ってしまう。

パターン2

電子データによるやり取りが業務のメインになった現在でも紙媒体が主流であった当時のルールをそのままにしているため、電子データで入手した情報をわざわざ印刷してファイリングしなければならない。

などなど・・・。

ISMSやPマーク取得にあたってルールを設計してみたものの、長期間にわたって継続運用していく中で、文書上の社内ルールと現場の業務がズレることはよくあります。

そのような場合、例えば次のような対策を講じて、ISMSやPマークの社内ルールを、現状に合わせて再構築する必要があります。

対策案1

従業員に対し、社内ルールにおける不満や改善要望を募るアンケートを実施する。

対策案2

紙ベースでの管理をデータ管理に移行する。

例えば、従業員教育において紙ベースの理解度確認テストを実施している場合は、eラーニング等の導入を検討する。

対策案3

ISMSやPマーク上の承認印などについて、次のような観点で仕分けを行い、例えば3については廃止する。

1. ISMSやPマークで必須
2. ISMSやPマークでは不要だが、自社として実施したい
3. ISMSやPマークでも、自社としても不要

ISMSやPマークを効果的に運用・改善していくためには、従業員の方々の協力が必要不可欠です。

しかし、本来の業務がある中で、並行してISMSやPマークのルールを運用するのは、なかなかに負担がかかるもの。

そこで、従業員の方々の負担を減らしつつ、かつ、ISMSやPマークにおいて求められていることもクリアできるようなバランスの取れたルールを取り決めることが重要です。