ISMSとPマーク、実は結構違う！

「まずはPマークを取ってから、その次にISMSを取得します」という声をたまに聞くときがあります。

お話を聞いていると、最初にPマークを取得して、ステップアップとしてISMSにたどり着くイメージを持たれているようです。

PマークもISMSも共に情報セキュリティに関する認証制度ですが 同一、または延長線上のものではありません。

「ISMSはPマークよりも難しい」ということもよく聞きますが必ずしもそういった訳ではありません。

Pマーク

Pマークは、個人情報保護マネジメントシステムという言葉通り、個人情報に特化していますし、「保護」という言葉が表すようにどちらかと言うと、「○○しなさい」というMustの項目が多いです。

あくまでもベースに遵守という考えがあります。

ISMS

一方、ISMSは情報セキュリティマネジメントシステムとなっており取り扱う範囲は情報全般になります。

もちろん、情報の中には個人情報も含まれますが、個人情報以外にも営業情報や企業ノウハウ的なものも含まれてきます。

また、「○○しなさい」というMust項目も少なく「どのようにしていくのか」を各会社でそれぞれ決めていきます。

そういった意味ではPマークより自由度が高いです。

自社に適した認証はどちらか？どちらを先に取得すべきか良く考えよう

社内でのマネジメントシステムの構築といった点ではPマークもISMSも同様に進めていくことが出来ますが、最終的に認証を取得する時に審査を受ける必要があります。

この審査もPマークとISMSで毛色が結構異なります。

また、Pマークの審査機関の中には「ISMSとPマークは違う。よって、同一のルールにするのは認めない」と1つのマネジメントシステムで両方の規格に対応することを否定するところもあります。

同一のルールでISMSとPマークを運用するケースでもPマークを取得した後にISMSを取得する場合は、文書類はかなりの確率で1から作り直した方が早いケースが多くなります。

ISMSを取得した後にPマークを取得する場合は、文書類の修正が比較的少なくても対応が可能です。

取引先から「Pマークを取得しなさい」と言われている場合は別ですが、そういった制約がない場合はISMSの取得とPマークの取得は自社の業務形態を考慮して決定するのが良いです。

「うちの会社はPマークとISMSのどちらが適しているのか？」というご相談も随時受け付けておりますのでお気軽のお問合せ下さい。

コンサルタントが訪問させて頂いて、お話を聞かせて頂いて1社1社ごとに適したご提案をさせて頂きます。