みなさんの組織でISMS認証の取得を検討する際、まず、自力でも取得できるものなのか、もしくは弊社のようなコンサルティング会社にサポートに入ってもらう必要があるのか考えるのではないでしょうか。

そこで今回は、ISMSを組織内部のみで自力で構築・認証取得する際につまづく可能性のある点について考えてみたいと思います。

つまづく可能性のあるところ

1.規格の内容がわからない

ISMSの構築・運用は大前提として、ISO 27001という国際規格に則って行う必要があります。そのためこの規格を理解しないことにはISMSの構築以前の部分で止まってしまいます。この規格自体、書いてあることを大まかに理解することは可能なのですが、規格を理解した上で「だから何をする必要があるのか」と行動をイメージしづらく、また、規格のみに登場するような用語や抽象的なニュアンスの表現が数多く登場するため、そのニュアンスを具体的な行動として反映させることも容易ではありません。

もちろん自力で規格を理解することで、規格の内容やISMSの意図についてしっかり理解・把握することにつながる可能性もありますが、それまでに多くの時間がかかり、業務に支障をきたしてしまう可能性もあります。

2.情報やリスクをどこまで特定すればいいかわからず多大な工数をかけてしまう

ISMSの取り組みでは、組織が持つ情報資産や発生しうるリスクを洗い出して管理するということが重要です。先述した規格上では、これらは行うこととしては記載していますが、「この形式・粒度・分量特定してください」といった答えについては記載がありません。そのため多くの場合、「100%特定していないとダメなのではないか」「100%とはいっても何をもって100%なのか」という疑問を抱くことになります。また、どのようなやり方で特定した結果をどうするべきかということも悩みのタネとして多く聞かれます。

そのような疑問を持ったまま上記の取り組みを行った結果として、必要以上に細かなところまで確認しすぎて通常業務に支障をきたすほど工数をかけてしまう可能性があります。

3.必要のないルールを作って効率を下げてしまう

ISMSの取り組み中盤では、実際に組織の情報セキュリティを維持・向上させるための仕組みづくりを行っていくことになります。規格に則った仕組み作りと聞くと一つの正解しかないように思ってしまうのですが、ISMSの規格は非常に抽象的なものであり、柔軟に対応することができます。例えば、テレワークに関する規格ひとつを取っても、テレワークに関するルールを作ることが求められているのであって、具体的な対策・ルールは組織の形によりけりです。

しかし、それを知らない、また、理解していない場合、書籍やwebサイトなど調べたことを詰め込んだ仕組みが構築されてしまい、情報セキュリティは確かに向上したけど、業務効率が落ちて本末転倒という結果を生み出す可能性もあります。

4.チェックが甘くなる

ISMSでは、構築した仕組みを実際に運用したら、そのルールがしっかりと規格に適合しており、かつ、組織にとって有効なものなのかチェックする必要があります。
自力でISMSの構築・運用を行う場合、基本チェックも組織内の担当者が実施することになるでしょう。しかし、組織内の人が行ってしまうと、「自組織にあまり悪いこと言いたくないな」「これくらい見逃してもいいかな」といった考えが働くかもしれません。また、情報セキュリティについての専門的な知見がない場合、有効か判断することが難しくなるかもしれません。

ただし、自力でチェックを行うことで、担当者の情報セキュリティ意識向上などにつながる可能性もあります。

まとめ

今回は、自力でISMSを構築・運用する場合につまづく可能性のある点について、いくつか紹介しました。
ISMSは柔軟性が高いため、自力で構築することも不可能ではないのですが、しっかりと理解をしていない場合、運用までに多くの工数をかけてしまったり、業務効率を大きく下げてしまうような仕組みを作ってしまうかもしれません。また、チェックも甘くなり、仕組みが改善されないまま運用され続けるという悪循環に陥ってしまう可能性もあります。

この記事を見ると、コンサルティング会社にお願いするのがいいという結論になるかもしれませんが、任せきりになってしまい、自組織だけではISMSが運用できなくなることも考えられます。

自力でISMSを構築・運用していく場合に気を付けるべき点、そして、外部のコンサルティング会社などに入ってもらった場合に起こり得るリスクなどを鑑みて、どのように組織のISMSの取り組みを進めていくか考えていくことが大切です。

弊社では、組織のみなさんに理解してもらいながらそれぞれの組織に応じた仕組み作りを行い、みなさんの手でも運用していくことのできるISMS構築・運用のコンサルティングを大切にしています。ISMSに少しでも興味がございましたら、お気軽にお問合せ下さい。

自力でISMSを構築・運用するときつまづくところ

みなさんの組織でISMS認証の取得を検討する際、まず、自力でも取得できるものなのか、もしくは弊社のようなコンサルティング会社にサポートに入ってもらう必要があるのか考えるのではないでしょうか。

そこで今回は、ISMSを組織内部のみで自力で構築・認証取得する際につまづく可能性のある点について考えてみたいと思います。

つまづく可能性のあるところ

1.規格の内容がわからない

ISMSの構築・運用は大前提として、ISO 27001という国際規格に則って行う必要があります。そのためこの規格を理解しないことにはISMSの構築以前の部分で止まってしまいます。この規格自体、書いてあることを大まかに理解することは可能なのですが、規格を理解した上で「だから何をする必要があるのか」と行動をイメージしづらく、また、規格のみに登場するような用語や抽象的なニュアンスの表現が数多く登場するため、そのニュアンスを具体的な行動として反映させることも容易ではありません。

もちろん自力で規格を理解することで、規格の内容やISMSの意図についてしっかり理解・把握することにつながる可能性もありますが、それまでに多くの時間がかかり、業務に支障をきたしてしまう可能性もあります。

2.情報やリスクをどこまで特定すればいいかわからず多大な工数をかけてしまう

ISMSの取り組みでは、組織が持つ情報資産や発生しうるリスクを洗い出して管理するということが重要です。先述した規格上では、これらは行うこととしては記載していますが、「この形式・粒度・分量特定してください」といった答えについては記載がありません。そのため多くの場合、「100%特定していないとダメなのではないか」「100%とはいっても何をもって100%なのか」という疑問を抱くことになります。また、どのようなやり方で特定した結果をどうするべきかということも悩みのタネとして多く聞かれます。

そのような疑問を持ったまま上記の取り組みを行った結果として、必要以上に細かなところまで確認しすぎて通常業務に支障をきたすほど工数をかけてしまう可能性があります。

3.必要のないルールを作って効率を下げてしまう

ISMSの取り組み中盤では、実際に組織の情報セキュリティを維持・向上させるための仕組みづくりを行っていくことになります。規格に則った仕組み作りと聞くと一つの正解しかないように思ってしまうのですが、ISMSの規格は非常に抽象的なものであり、柔軟に対応することができます。例えば、テレワークに関する規格ひとつを取っても、テレワークに関するルールを作ることが求められているのであって、具体的な対策・ルールは組織の形によりけりです。

しかし、それを知らない、また、理解していない場合、書籍やwebサイトなど調べたことを詰め込んだ仕組みが構築されてしまい、情報セキュリティは確かに向上したけど、業務効率が落ちて本末転倒という結果を生み出す可能性もあります。

4.チェックが甘くなる

ISMSでは、構築した仕組みを実際に運用したら、そのルールがしっかりと規格に適合しており、かつ、組織にとって有効なものなのかチェックする必要があります。
自力でISMSの構築・運用を行う場合、基本チェックも組織内の担当者が実施することになるでしょう。しかし、組織内の人が行ってしまうと、「自組織にあまり悪いこと言いたくないな」「これくらい見逃してもいいかな」といった考えが働くかもしれません。また、情報セキュリティについての専門的な知見がない場合、有効か判断することが難しくなるかもしれません。

ただし、自力でチェックを行うことで、担当者の情報セキュリティ意識向上などにつながる可能性もあります。

まとめ

今回は、自力でISMSを構築・運用する場合につまづく可能性のある点について、いくつか紹介しました。
ISMSは柔軟性が高いため、自力で構築することも不可能ではないのですが、しっかりと理解をしていない場合、運用までに多くの工数をかけてしまったり、業務効率を大きく下げてしまうような仕組みを作ってしまうかもしれません。また、チェックも甘くなり、仕組みが改善されないまま運用され続けるという悪循環に陥ってしまう可能性もあります。

この記事を見ると、コンサルティング会社にお願いするのがいいという結論になるかもしれませんが、任せきりになってしまい、自組織だけではISMSが運用できなくなることも考えられます。

自力でISMSを構築・運用していく場合に気を付けるべき点、そして、外部のコンサルティング会社などに入ってもらった場合に起こり得るリスクなどを鑑みて、どのように組織のISMSの取り組みを進めていくか考えていくことが大切です。

弊社では、組織のみなさんに理解してもらいながらそれぞれの組織に応じた仕組み作りを行い、みなさんの手でも運用していくことのできるISMS構築・運用のコンサルティングを大切にしています。ISMSに少しでも興味がございましたら、お気軽にお問合せ下さい。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする