ISO27001 アイソ・ラボ株式会社

1.ISO27001とは?

※ISO27001は、正確にはISO/IEC27001と言います。ここでは略称で呼びます。

ISO27001は、情報の正確さを確保しつつ、使うときには使いやすくし、かつ、情報が漏洩したり、盗まれることがないようにするために
何をしたら良いかを定めた国際規格です。

「仕事を発注したいが情報が漏洩したら困る」そのようなお客様に安心して仕事を発注してもらうためには、預かった機密情報が漏れないようにしっかり管理する必要があります。
そのようなことをしっかりやっている会社であることの証明のためにISO27001の認証取得があります。

2.ISO27001を取得するには?

次の様なことをやることになります。
1.社内にどのような情報があるかを調査し、大事な情報がどれであるかを特定します。
2.大事な情報を見られたり、盗まれることがないように、対策方法を定めます。
3.必要なマニュアル類と帳票類を作成します。
4.マニュアルで定めたことを実施し設定した記録を残します。
5.審査を受けます。(審査は1次審査と2次審査があります)

3.どのようなマニュアルが必要か?

次のマニュアルが最低必要です。
1.ISMSマニュアル(情報を管理するための全体像を書いたマニュアル)
2.運用マニュアル(詳細管理策をまとめたもの) ※呼び方は会社によって大きく異なります。
3.適用宣言書(114の管理策をどのように適用するかを決めた説明書、読み物ではない)
4.帳票類(記録を残すための帳票)

分厚いマニュアルは、次のような問題を生じます。
■ 作るのに多くの時間が必要。
■ 読んでも何が書いてあるか分からない。
■ 作った人でも、どこに書いたか分からない。
■ 皆も読もうとしない。
■ 社内に活動が浸透しない。
■ 不整合が出やすく修正や改訂に時間がかかる。
■ 事務局やISOメンバーもいやになる。
■ 後継者に引き継ぐのが困難。

このようなことになりがちで、良いことは全くありません。そこで弊社がお勧めしているのが『超コンパクトISO』です。(超コンパクトISOとは?

下の写真をご覧ください。

ISO14001 アイソ・ラボ株式会社
超コンパクトISOタイプ

← これが超コンパクトISOです。
   薄いので丸めて持てます。
   読みやすく、分かりやすいのが特徴です。
   マニュアルの総ページ数は60頁前後で済みます。
   ※お客様の好みによっては多めに作ることがあります。



ISO14001 アイソ・ラボ株式会社
従来型

← これが従来型のマニュアルです。
すごいだろうと自慢するには良いかも知れません。
総ページ数が500頁を超えるものも見ました。
こんなに多いと、全体像がわかりません。
読んでも読んでも終わりません。
記憶に残らず、誰も読もうとしません。
社内のルールとして機能しない。
維持するのも、たいへん!
    

4.ISO27001取得の準備ステップと期間は?

ISO27001取得の大きな流れは次の通りです。

情報資産の洗い出し+リスク評価を行う

1~2ヶ月

STEP
1
ISMSマニュアル+運用マニュアル+適用宣言書+様式を作る

3~4ヶ月

STEP
2
ISMSマニュアルと運用マニュアルに書いた通りに運用を開始する。

3ヶ月後(PDCAが1回転後)

STEP
3
1次審査を受ける。

1ヶ月後

STEP
4
2次審査を受ける。

1ヶ月後

STEP
5
判定委員会 合否が決まる
STEP
6

合計すると準備開始から認証取得までは、8ヶ月~12ヶ月と言うところです。ただし支援方法やお客様によって期間は変動します。目安とお考えください。

5.ISO27001取得のメリットは?

  1. 取得し全員がまじめに取り組むことで得られるメリットとして次のことが挙げられます。
  2. 情報漏洩の危険性が少なくなり、お客様に信用or信頼されるようになります。
  3. 新規顧客開拓に有利になり、受注しやすく、売上が増えます。
  4. 情報セキュリティに対する会社の方針が明確になります。
  5. 労働意欲・モラールが高まります。
  6. 働く人の責任と権限(役割分担)が明確になります。
  7. 人材育成の仕組みができ、人が育つようになります。
  8. 新入生に自社の情報セキュリティの取り組みを、皆が説明できるようになります。
  9. 仕事をした記録がすぐ取り出せるようになります。
  10. 取引条件がクリアでき安心できます。
  11. 名刺やパンフレットにISOの認証マークが入れられるようになりPRが可能になります。
  12. 仕事に対する自信につながります。
  13. トラブルがあった場合、原因が追い易くなります。

6.よく見受ける間違いは?

間違った取り組みをすると、やる必要がないことをやってしまったり、過剰な設備投資をしたり、過剰な管理で仕事に支障を生じたりと、大変なことになります。よく見受けるケースを書くと…………、

  • ISO27001規格書の解釈を間違っていることが原因で大変なことになっている。
  • 重厚長大型の分厚いマニュアルを作っている。
  • 過剰な取り組みをしている。
  • 情報資産を細かく出しすぎている。
  • 必要がないのに管理策が多くなっている。
  • 過剰な装置を導入している。
  • そこまでやる必要がないのにやっている。
  • 必要もないのに絶対やらないといけないと思い込んでいる。
  • お金と時間を掛け過ぎている。
  • 過剰な手続きをしているケースや過剰な記録を残している。

ISO27001を難しく考えると本当に難しくなります。難しく考えないようにしましょう。

7.ISO27001の導入を成功させる7つのポイント

導入を成功させるためのポイントを挙げると次の7つが挙げられます。

  • 良いコンサルタントを選ぶ。
  • マニュアルはやさしくコンパクトにまとめる。
  • 社内で働く人のセキュリティに対する意識を高めることが大切
  • やれることをルールにする。
  • PDCAの管理サイクルを確実に回す。
  • 問題があったら決められた通り報告すること。クレーム隠しはだめ。
  • 管理策を設定する時は智恵を使って工夫する。

『取る前に読む本 ISO27001』で詳しく解説しています

ISO27001 取る前に読む本ISO27001
取る前に読む本ISO27001編

※ISO27001:2013(JISQ27001:2014)対応  

もっと詳しく知りたい方は、『取る前に読む本 ISO27001編』をお求めください。
規格要求事項の解説もついています。
初めてISO27001取得に挑戦される方にお勧めの書籍です。 

「取る前に読む本 ISO27001編」資料紹介・申込みコーナーはこちらです

ISO27001導入ミニセミナー(無料)をやっています。

ISO27001取得の全体像がわかります。
導入に失敗しないようにするための予備知識を習得できます。
全国どこでも無料で受けられます。(交通費はご負担をお願いしております)
詳細はISO導入ミニセミナーページへ

コンサルティング見積依頼受付中

新ISO27001認証取得コンサルティングの見積依頼は下の見積依頼書に記入してお送りください。

ISO27001のコンサルタントは、福岡、神戸、名古屋、東京、札幌にいます。情報系出身のベテランが揃っているのでご安心ください。

アイソ・ラボ株式会社