ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMS(ISO27001)の取得準備を進めていく際に、取得の難易度がどのぐらいか気になる方もいらっしゃるのではないでしょうか。あらかじめ難易度や難しい点を理解しておけば、スムーズな種得に役立ちます。
この記事では、ISMS(ISO27001)を取得する際の難易度についてまとめます。
対応策についても触れるので、企業のご担当者様はぜひ参考にしてみてください。
ISMSの認証審査を受けた際に、基準に不適合だとして不合格となることもあります。
しかし一度不合格となったからと言って、認証が受けられないわけではありません。不適合とされても、問題点を是正してから再審査を受けることができます。
もちろんISMSは簡単に取得できるものではなく一定の準備や対策は必要です。
しかしだからと言って、一度の不適合で不合格で終わるということはありません。そのため、ISMSの難易度を考える際も、「結局取得できないことがあるのでは?」「合格率が低いのでは?」というような心配は無用です。
審査の不適合や是正については、以下の記事で詳しく解説しています。
ISMSの審査の全体像を把握したい!概要をISO審査員が解説します
ISOで求められる是正処置とは? – ジーサーティ・ジャパン
ISMS認証の流れの中で難易度が高い工程は、マニュアルや手順書を作成する工程です。
準備から認証までの流れは以下の通りですが、以下の1.から2.の部分に当たります。
マニュアル・手順書の作成では、次に述べる内容を着実に行う必要があります。
ISMSは、ISO27001規格の「要求事項」を理解して構築しなければなりません。
言い換えれば、要求事項を実現するとISO27001規格を取得できるということです。審査では要求事項に基づいて、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断されます。
ISMSでベースとなるのは、「機密性」「完全性」「可用性」の3つの要素です。
要求事項も当然その3要素に基づいています。具体的には以下の事項で構成されています。
具体的な内容は割愛しますが、準備の段階で上記の要求事項を理解することが必要となります。
ISMSの要求事項については、以下の記事で詳しく解説しています。
ISO27001(ISMS)の規格要求事項とは? – ジーサーティ・ジャパン
このようにマニュアル・手順書は要求事項を満たす必要がありますが、それと同時に自社の認証範囲の業務に合わせた内容にしなくてはなりません。運用していくためには、自社の業務に合っていないと現場で利用できないためです。
一般に、必要となるマニュアルは以下の通りです。
上記のうち、「適用宣言書」については以下の記事で詳しく説明しています。
ISMSの適用宣言書とは?作成の手順・ポイント解説とサンプルを紹介
また、ISMS認証の難易度を決める要素として以下の事項も挙げられます。
順に解説します。
組織や認証範囲の規模が大きいと、その分情報資産の数も増えます。
そのため、管理が複雑になりやすいのはある意味では当然だと言えるでしょう。
さらに大きな組織では単純にカバーしなければならない範囲が広くなり、準備や運用の作業が増えることとなります。
負担や難易度の低減と効率化のためには、フレームワークを活用したり定期的にアップデートしたりする方法があります。
そのほか、認証範囲の規模は審査費用にも影響します。
規模が大きいと審査費用も高くなるため、金額面で難易度が高まる可能性もあるでしょう。
規模だけでなく適用範囲の部署の業務が複雑な場合も、同様に管理が複雑になります。
それに伴い、管理のためのISMSの内容も複雑になってしまいます。
業務の単純化・スリム化を検討してからISMSを構築した方が、ISMSをシンプルにできて作業を削減できるでしょう。
業種も審査費用の金額に影響する要素で、複雑な業務の業種は費用が高くなる可能性があります。
予算によっては費用面の難易度が上がるかもしれません。
それまでに明確な情報管理のルールがない場合は難易度が高まります。
ゼロベースでスタートすることになり、作業の量・内容も負担が大きくなるためです。
逆に、ほかのISOをすでに取得していれば管理の仕組みを流用できます。
あるいはほかの部署でISMSを取得していればノウハウを水平展開することが可能です。
そのため、そういったケースでは少ない負担で準備を済ますことができるでしょう。
現場スタッフのリテラシーや教育の度合いも、取得や運用の難易度を左右します。
教育が行き届いていない場合は、教育にかかる労力も増えます。
研修や勉強会などの機会がこれまでもあった場合は、基本的な情報リテラシーがあり取得もその分楽になるでしょう。
情報管理の重要性が浸透しているほど難易度が下がります。
現場だけではなく、経営者の理解やモチベーションもISMS取得の難易度にかかわります。
経営者が重要度を理解していないと、取得しようというモチベーションが低く積極的に話が進まなくなりがちです。ISMSでは、取得だけでなく運用や更新においてもマネジメントレビューのような経営者がかかわる場面が出てきます。経営者の理解を得たうえで取得を目指すのが理想的です。
経営層に取得を提案する場合は、取得のメリットをわかりやすく伝えるようにしてモチベーションを高めるようにしましょう。
最後に、ISMS取得の難しい点をクリアする方法について解説します。以下の補法があります。
1つずつ見ていきましょう。
まず、内製より大きく難易度を下げるのがコンサルタントの活用です。
コンサルタントにはISMS取得のノウハウがあり、的確なアドバイスが得られます。提供するサポート内容によっては、一部の作業を代行してもらうことも可能です。ISMS構築などの具体的な作業はもちろん、経営者と現場の間の橋渡しをしてくれる場合もあります。これらにより取得の可能性が大幅にアップします。
コンサルタント選びは、相見積もりを取って決めるのが基本です。以下の記事で詳しく解説しています。
ISO27001(ISMS)のコンサルタント費用は?取得・運用の両方について解説 – ジーサーティ・ジャパン
ツールの活用でもISMS取得の難易度が下がります。
ツールを利用して指定された内容を検討・決定していくだけで、システムを構築することができます。
ツールが認証取得のガイド・ベースとなり、そのおかげで作業内容が明確になります。
その結果、自社のリソースでも要求事項を満たすISMS構築が可能になります。
なおツールには様々な種類があり、製品によって機能が異なります。
自社に合うツールはどれか、複数のツールを比較検討して導入するようにしましょう。
そして適切な認証機関を選ぶことも、認証に伴う余計な労力をなくして難易度を下げることにつながります。
準備の段階ではコンサルタントやツール、自社のリソースなどいろいろな選択肢がありますが、認証取得には認証機関とのかかわりが必須です。どの認証機関で認証を受けても価値は変わりません。しかし自社のニーズと審査のポイントが一致している認証機関を見つけた方が、認証取得の難易度が下がります。
自社にとって重要ではない点を指摘されるようなことがなくなるためです。
選び方のポイントは、費用・スピード・実績の3点です。
実はISMS-ACの認定を受けた認証機関かどうかは重要ではありません。繰り返しになりますが、どの認証機関で受けても認証の価値は変わらないためです。認証機関のスペック面より審査そのものを見て決めましょう。認証機関選びでは、相見積もりは必須です。
また、コンサルタント・ツールなどどのように準備していくかも、はじめに信頼できる認証機関を見つけて相談して決めるという方法もあります。
認証機関の選び方については、以下の記事で詳しく解説しています。
ISMS認証機関(審査機関)比較のポイントは?よくある疑問にもお答えします
ISMS(ISO27001)は信頼ある国際規格です。
あまり準備をしなくても取得できるというものではありません。しかし極端に難しいということもありません。
要求事項にのっとって準備を進めれば、確実に取得できます。
ISMS(ISO27001)の取得についてご相談がおありの場合は、ぜひ私どもジーサーティにご相談ください。
信頼できる認証機関としてアドバイスいたします。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
