夏以降に何件かのISO27001の2013年版への移行対応についてお問い合わせを頂きました。

お客様先に訪問して話をしていると、ISMSの改定対応と言うよりかはISMS全体の見直しをしたいという声の方が圧倒的に多いです。

全ての企業が2013年版へ移行しないとダメ

現在ISMSを取得している企業は2015年9月30日までに必ず2013年版に対応を完了しておかなければなりません。

要するにISMS取得企業は必ず2013年版に移行しないといけないのです。

「ウチの会社は今のバージョンのままで良いよ」というのはナシです。
全ての会社が2013年版に対応しなければいけません。

なので、この2年間のうちに各企業のISMSの担当者の人には改訂対応というお仕事が発生してきます。

今のISMSに不安や不満がある

早い段階からISMS改訂対応をしなければいけないとう情報をゲットしている会社のISMS担当社の方々がLRMにご相談頂くのですが、内容的には「2013年版への移行をしたい」と言うよりかは「ISMS全体を見直したい」という声が多いです。

そこには色々な理由があります。代表的なモノとして以下のような理由があります。

前任の担当者からISMS担当を引き継いだけど、しっかりとした引き継ぎ期間がなかったりしてISMS自体の内容が分からないのでこの機会に担当者がしっかりと内容を見直して理解したい。

現状の社内のISMSは認証取得時に外部のコンサルタントが持ってきた雛形をそのまま使っているので、それが良いのか悪いのかわからない。ただ、自社には必要ないような雛形もそのまま使い続けている。

一言で「ISMSが形骸化」している。「ISMSだから」という理由で今までとおり同じ作業をしているが、そもそも何のための作業なのかがわからなくなっている。
無駄な作業は極力なくしていきたい。

自社の業務とISMSでやっていることが一致せずに無駄な作業をしている感じがある。結果的にISMSを維持するためだけの活動になっているのでこの段階でISMSを自社にとって有効な仕組みにしていきたい

ISMSを改善するチャンスです

一度構築したISMSは会社の状況などに合わせて順次修正をしていって少しずつ改善をしていくのが理想なのですが、多くの担当者の方々は兼務でISMS担当をしています。

別の業務がある中で、なかなかISMSの改善という作業に取り組むのは大変です。

時間も取れませんし、上司からの許可も得にくいと思います。
だって、別に改善をしなくてもISMSの認証は維持し続けることは可能だからです。

そういった担当者の方には、今回の2013年版への改定対応というのは会社を説得する良い機会になると思います。

改定対応として、会社として外部コンサルタントの利用や担当者や関係者の時間を確保してくれやすくなると思います。

折角の機会ですので、今までのISMSを見直して、自分たちの会社にあった、運用がし易いISMSに変えていきましょう。

LRMへご依頼を頂くパターンも、ほとんどがISMS全体の改善です。