ISO27001はいつ取得?企業はどれくらいの規模で取得すべきか
情報セキュリティマネジメントシステムの認証 規格 である ISO27001 。取引先から認証取得を求め、自社のセキュリティ水準を高める目的で取得を検討している企業も多いのではないでしょうか? しかし、マネジメントシステム認証の取得というのは中小規模の企業にとっては難易度が高く、取得のために人員を割く余力がなかったり、取得するためのノウハウがなかったりすることは往々にしてよくあることです。このため、マネジメントシステムは人員的にも資本的にも余力がある大企業が取得するものと考えてしまいがちです。
では、具体的にどれくらいの規模になったときにマネジメントシステム認証を取得するべきなのでしょうか?
ISO27001に企業規模は関係ない
ISO 27001は、要求事項などによって取得できなくなることはありません。ーーむしろ、ISOマネジメントシステム規格というものは、どちらかというと中小規模の組織を対象としたマネジメントシステムで、具体的な管理策については特に要求を行っていないのです。
このため、従業員数が10名以下の企業であっても十分認証を取得することが可能なのです。
中小規模の企業がマネジメントシステム認証を受ける意義とは
そもそもですが、マネジメントシステム認証というのは、規格が要求する事項を満たすマネジメントシステムを構築することで取得できるものです。つまり、ISO27001を取得するということは、情報セキュリティマネジメントシステムを構築することになるのです。
このマネジメントシステムというのは、業種の規模が大きくなればなるほど力を発揮するものではあるものの、例え少数精鋭の組織であったとしても構築する価値は十分にあります。なぜなら、ISO27001の規格が求める情報セキュリティマネジメントシステムは、情報の三大要素である可用性・完全性 ・ 機密性 をバランス良く維持し、情報セキュリティ上のリスクを洗い出します。そのリスクに対してどのような対策を行うのかということを決定するツールだからです。
何が言いたいかというと、情報セキュリティ上のリスクというそこに確かに存在するものに対応していくために、対応策を講じてその対応策を改善していく枠組みというのは、どのような規模であってもあるに越したことがないのです。
例えば2人によって構成されている組織であっても、いきあたりばったりの対策をねるのではなく、マネジメントシステムの枠組みに則って対策を講じていくほうが組織として正しい対応を行うことができる可能性が高いからです。
もちろん、ISO27001のマネジメントシステムを構築し、そのマネジメントシステムの枠組みの中でリスクへの対応を行っていくことが、必ずしも正解ではないかもしれません。ただ、マネジメントシステムというツールを活用していくことで、セキュリティ水準を高めることができるのであれば例え企業規模が小さいからといっても、活用しない手はないのです。
中小規模企業でISMS運用は大変ではないか?
情報セキュリティマネジメントシステムはその組織が持つリスクを分析し、そのリスクへどのように対応していくのかを決定していくための枠組みです。このため、大規模な企業よりもリスクが少ない中小規模の組織であれば、ISMSの運用もそこまで大掛かりなものになりません。
このため、ISMSの運用はたしかに人員を割くことが難しい状態にあるのであれば大変だと感じるかもしれませんが、コンサルタントなどの外部サービスを利用することで十分運用が可能になるでしょう。
まとめ
今回は、ISO27001の取得と会社の規模について解説してきました。結論を申し上げると、目的に応じてマネジメントシステム認証が必要となるのであれば、認証を取得することを検討するのが良いでしょう。もし仮に企業規模が大きかったとしても、マネジメントシステム認証が不要なのであれば、ISO27001はただの重荷になってしまうかもしれません。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい