ISO27001の規格改訂を補うマニュアル

ec8bcd972b791475f24ae64d5a79e619_s

たくさんの情報を扱う企業にとって情報管理能力は非常に重要な分野になります。情報の中には自社の社員の個人情報や、顧客に関する情報、今後の展開に関する重要な機密情報や、取引先から預かった情報など、どれも適切に管理しなければならない情報ばかりです。こうした情報の管理はIT化が進む中で非常に大切で、不正なアクセスや、コンピューターウィルスによる情報の改善や抜き出し、消去などあらゆるネット上に潜む危険に対応しなければなりません、そのために注目されているISO27001という国際規格です。この規格は国際的に通用する情報セキュリティマネジメントの方法として確立されており、いまやこの国際規格の認証なくしては、自社の信用を保てないことや、数々の仕事を受けるうえでの必須条件となっていることもあり、企業の発展には欠かせない規格となっています。

ISO27001の改定に関して

ISO27001の規格改訂は多くの情報セキュリティマネジメントを担当する社員にとって悩みの種となっています。その改訂内容を把握しきれずに、自社の運用にどのように反映したらよいのかわからなくなってしまうのです。改定個所に関するマニュアルなどを自社で作成したり、コンサルティング業者に相談したりするなど、すでに認証を取得している多くの企業で改定に関する業務に追われています。

近年の規格改訂の内容としてのポイントは、まず正式名称が変わることです。これまでは正式には「ISO/IEC27001:2005(JIS Q 27001:2006)」という名称だったのに対して、規格改訂後の名称は「ISO/IEC27001:2013(JIS Q 27001:2014)」へと変更されています。この変更に気が付かないと、公的機関に書類を提出する際に、古い名称のまま提出してしまい書類不備で差し戻しになってしまう可能性もありますので十分注意が必要です。また、マネジメントに関する要求事項の項目も増えており、より具体的に運用を考える必要があります。

項目が増えるとはいえ、基本的にはより企業にとって情報セキュリティマネジメントが行いやすいように改定がなされたものです。真新しい考えが増えたと思うのではなく、今まであった考え方をより企業の実情や、実務に反映しやすいように組み直したというイメージでよいでしょう。規格の内容の見直しがなされるのは、IT化が進むうえで企業の在り方も少しずつ変化していく状況の中ではやむを得ない変更といえますし、そのように敏感に社内の情報セキュリティマネジメントに関しての意識を高め、改善箇所を探すという作業は、結局のところ企業としての組織強化にもつながります。また、改定にも順応している企業としての姿勢は、他社との差別化や、より一層の信頼を勝ち得るために役に立つでしょう。もちろん、社内における担当者の負担は増えてしまうことが予想されますので、担当者の負担を少しでも減らすために改訂個所をわかりやすくまとめたマニュアルの作成などでその働きを補う必要もあるかもしれません。

ISO27001の審査によって明らかになる点

ISO27001の審査ではどのような点を重視するのでしょうか。基本的には情報セキュリティマネジメントが企業としての組織の目的を果たすような仕組みに本当になっているのかどうかという点が注目されます。これには事業としての大きさとのバランスも関係していますので、いかに情報セキュリティマネジメントとの連動がなされているかが大切なポイントになります。この事業のレベルとの連動の中には、情報の取り扱い上発生するであろうリスクをどの程度理解し、そのリスクに対してどのような対処策を持っているのか、本当にセキュリティリスクの低減が実現できるような計画がなされているのかが注目されます。

こうした厳しい審査は企業にとってもメリットとなります。なぜなら、こうした審査を通じて自社の気が付かなかった問題点に目が留まることもありますし、最小限の被害で問題を食い止めることにも貢献することが予想されるからです。さらには現場審査によって実務上の問題点も浮き彫りになるため、形式上の認証取得とならないようにも守られ、企業として実質のある内容となるでしょう。

福祉や介護業でも注目

近年、福祉や介護業でもISO27001は注目を集めています。介護の需要は増加する一方であり、今後もますます介護職に従事する人の数は必要となってきますし、高齢者の情報を適切に扱う上でも情報セキュリティは重要な課題となってくるからです。こうした日本の背景を考えてもISO27001の改訂に伴う研修は、理解不足を補うものとして不可欠なものであるといえるでしょう。改定個所を従業員がしっかりと理解し自分の持ち場の上でそのために何ができるのかを把握することは、今後の情報セキュリティマネジメントの上でも一つの核となる重要な要素といえます。

ITによって企業はこれまでにない速度での発展が可能になってきました。しかし、その一方で情報保護に関する知識は必要不可欠となっており、社会的な注目も増していく一方です。自社がそうした時代の流れに対応することができるようISO27001の取得を目指すことや改定内容に精通しておきましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事