ISO27001におけるミッションは何か?

ISOプロ担当者

xchT6uL3LLKcFdX1539310655_1539310666

ISMS、別名ISO27001は情報資産を多種多様な脅威から守り、リスクを軽減させるためのセキュリティマネジメントシステムです。システム開発業者が避けて通ることのできない事項ですが、導入にあたっては何をミッションとすべきかを明確にしておかなければいけません。ISO27001におけるミッションについて解説します。

顧客ニーズを満たす

ISO27001の第一のミッションは「顧客からあずかった情報を適切に管理すること」です。情報漏えい等の事故を未然に防ぐことは、何よりも顧客のニーズを満たすことでもあります。確かにISO27001を取得しても直接そこから利益を得ることはありません。しかし、利潤追求しかしない企業は成長に限界があるともいわれています。ある売上高を達成することは目標になるかもしれませんが、それを使命=ミッションとしてしまうのは間違いです。

顧客の何よりのニーズは、情報の堅牢な管理です。安心してまかせることができるセキュリティマネジメントシステムを持っていることの証しとしてこそ、ISO27001を取得する意義があるのです。

情報セキュリティには3つの柱があります。アクセスを許可された者だけが情報に確実にアクセスできる「機密性」、情報資産が完全な状態で保存されていて内容が正確である「完全性」、情報資産が必要になった時にいつでも利用できる「可用性」の3つです。以上の機密性・完全性・可用性をバランス良く維持するメソッドを社内の共通理解とするためにもISO27001は大変役立ちます。

ISO27001における顧客とは?

ISO27001が顧客のニーズを満たすことをミッションとしているのだとしても、ここであらためて「顧客は誰なのか」という点が問題になります。事業における顧客は取引先やエンドユーザーでしょう。しかし、ISO27001における顧客となるとまた話は別になります。

それにはまず、ISO27001のミッションである「企業の情報セキュリティを守る」ということをニーズとしている主体は誰なのかということを考えなければいけません。そのようなニーズを持っているのは、企業はもちろんですが「その企業に情報をあずけているすべての人」ということになるでしょう。実際に取引先から要求されてISO27001を取得したという企業は少なくありません。したがって、ISO27001における顧客とは、直接取引をしている企業だけではなく、その企業に情報をあずけているすべてのユーザーということになるのです。

顧客の価値とは?

以上のようにISO27001を軸にして考えると「情報をあずけているすべての人」が顧客ということになります。そして、顧客の価値観としては「情報が適切に管理されること」すなわち「情報が漏えいしないこと」を一番に望んでいるのです。まさに、ISO27001取得にあたってのミッションと一致しています。

経営学者ドラッガーも著作の中で、マネジメントとは顧客のニーズを満たすための道具・機能であると定義していました。ISO27001というセキュリティマネジメントシステムも、この定義に則したものを考えることができるというわけです。ISO27001を取得するということは、顧客のニーズに対してより敏感になり、企業の成長をもたらすものとなるでしょう。

しかし「顧客の価値」は不変のものではありません。つねに新しい「顧客の価値」を知り、顧客を増やし続けるために何をすべきか考え続けることが、この高度情報化社会の中では求められています。ISO27001の改善、運用は「顧客の価値」を再認識しようという営みでもあります。一度ISO27001の体制を構築したからといって、ただ維持のみに腐心するのではなく、つねに改善しながら運用していくことが求められています。実際にISO27001では年に一回のマニュアルの見直しやマネジメントレビューを行うようにという規定が設けられているので、忘れずに取り組むようにしたいところです。

この、マニュアルの見直しとマネジメントレビューを負担に感じている企業も少なくないと聞きます。更新審査前にバタバタと片付けようとする担当者も多いようですが、非常に重要なプロセスでもあるので、できればじっくりと取り組んでみることをおすすめします。

ISO 27001の取得は、そのことで直接もたらしてくれるというものではありません。売上重視の経営者からしたら一見、無駄なように思われることも多々あるでしょう。しかし、長い目で見れば、ISO 27001の取得は大きな利益を企業にもたらすといっても過言ではありません。なぜならば情報セキュリティに関してマネジメントの観点から考察し直すことにもなり、それは顧客のニーズをより深く知るきっかけにもなるからです。目の前の短期的なニーズに応えているだけでは企業の成長には限界があります。しかし、顧客のニーズの変化につねに対応し、時には先回りできるような企業ならば必ず大きな成長を遂げることができるのではないでしょうか。企業のさらなる発展を希望しているならば、ISO 27001の取得について前向きに考えてみることを強くおすすめします。

ISOプロでは月額3万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額3万円からご利用いただけます。

関連する記事・ページ