規格の言葉は分かりにくい?
ISMSの規格であるISO27001(JISQ27001)を見た人なら、ほぼ必ずと言って良いほど「わかりにくい」という感想を持つと思います(苦笑)。
規格の文章は平易な書き方をしていませんし具体的な内容は記載していない場合が多いので、普段ISO等に触れていない人が見るとどうしても「?」となる箇所が多いです。
よく「規格に書かれていることは全部覚えないとダメなのですか?」と聞かれますが、そんな事は全くありません。規格や管理策を覚える必要はないです。
大事なのは自社がどのようにしているのか
社内の情報セキュリティ体制を構築していくために規格の本文や133個の管理策を検討していきますが、管理策の言葉などは覚える必要はありません。
大事なのは、ウチの会社としてこういった対応をするというルールを抑える事です。
ルールですので覚えるに超したことはないのですが、マニュアルや手順書などに書いておいて「あのルールは、この手順書に書いている」というのを分かっていて、該当のケースの場合は手順書を見てルール通りの行動が行えれば良いのです。
ISMSに取り組んでいく段階で多くのルールが決まっていきますが、人によっては、ほとんど関係ないルールも出てくると思います。
年間1回ぐらいしか実施しないことは覚えておくのは難しいもんです。
そういった場合にも「ここを見れば大丈夫」という状態にしておく事が重要です。
ISO27001という認証を取得しているからISO27001の言葉などを全部知っておく必要はありません。
もちろん知っている方が望ましいですが、大事なのは「情報セキュリティを確保するためにウチの会社としてどうするか」を認識しておくことです。