ISMSはビジネス成果を生み出す?

ISO27001/ISMSの取得活動は、実は「経営の仕組み」を構築/改善する貴重なチャンスです。

ISO27001/ISMSの認証取得理由は一般的に次の通りです。

• 取引先から取得を要求された
• お客様への信用度を高めたい
• 情報は大切な資産だから、どんなことがあっても守りたい

など。

経営者の資質が問われます。

一番大事なポイントは、経営者様が、ISMSは会社に「経営の仕組み＝情報管理の仕組み」を構築、改善できる

またと無い機会！”と、確信、フォローしていただくことで、組織として非常に前向きに取り組むことができ、

より良い管理体制ができます。

注1)　上場企業のITシステム構築支援する際、J-SOX法で、ISO27001/ISMS対応は基本条件です。

　　　　同様に、上場企業への納入システム等を構築する場合も同様です。

　　　　また、ITシステム構築の発注条件になっている自治体も増えてます。

構築方針は、どちらも正解です。

“取引先から来年の春までに取得することを要求されているので、 とにかく急いで取得をしなければならない”

“取得することが先決である。中身よりも『取得』が大事”

そんなお話をよく聞きます。

　もちろんISO27001/ISMSを取得することで取引先・お客様などに信用を得ることにつながりますし、まして取得を

取引条件に入れられている場合は、おっしゃることも良くわかります。

　一般的に、“ISMSの趣旨を理解し、意味のある情報セキュリティ管理の仕組み構築、認証取得"と言われてますが、

どちらもコンサルタントの力量次第でどうにでもなります。

1.　“何よりも認証取得が先決” というクライアントには

　いかに “意味のある情報セキュリティ管理の仕組み” を構築させ、継続して改善できるプロセスをクライアントと

　共創するのがコンサルタント(コーディネータ)の役目です。

2.　最初から“ISMSの趣旨を理解し、意味のある情報セキュリティ管理の構築” をめざすべきお考えのクライアントには

　教育、研修、指導中心になりますが、いかに 『オーバースペック』にならないよう を構築させるのがコンサルタントの役目です。

　弊社は、まず構築方針を確認し、コンサルティング方針を決定します。

　コンサルタントに何を期待するか意外と明確になっておりません。

　"専門用語で提案されてもよくわからない"というクライアント様も多いですが、まずは下記２点を考慮して、整理しましょう。

　そのポイントは、各ステップで

　・コンサルタントは何をしてくれるのか、成果物は ?

　・事務局、対象部門は何をしなければならないのか、その工数と専任度合

を確認しましょう。

1.　プロセス・コンサルティング

　コンサルタントがISMSコーディネータとして参画し、クライアントと共同でコンセプトを共創するスタイル

※　コンサルタントに、その業界のアプリケーションノウハウが必要で、かつ、支援回数が多い、

　　それなりに責任も負うので費用はそれなりに掛かる

2.　エデュケーショナル・コンサルティング

　コンサルタントがISMS要求事項を教育、研修、各構築ステップで状況確認、指導するスタイル

　※　責任もない代わりに、費用も安く、担当者が専任出来、自らシステム構築したいクライアントには最適

ISMSに、“意味の無い仕組みが構築されてしまう”危険性はあるか?

ISO14001や9001の仕組み…など失敗事例に倣い、下記のような問題が起きるといわれてますが　・・・

● ISO27001/ISMS取得をしたけど、全く運用できていない。

● 自社の仕組みに合わないルールを決めてしまい、無理をしてマニュアルを使った運用をしてしまっている。

● ISO27001/ISMSは取得したけれど、本当に大事な情報を守ることができているかどうかは微妙なところ。

● 無駄なルールの実施や社員のモチベーションの低下など、社員の不満が非常に高く、嫌々運用をしている様子。

ISMSでは

　ISMSは、リスク回避型、問題解決型の情報セキュリティ管理システムですの事前に、リスクアセスメントし、

重点管理項目を明確にしスタートします。

　ISMSの要求事項の中に、詳細管理策という管理のベースラインがあります。

そのベースラインに沿って、構築されるISMSは、組織としてやるべきことと、ITシステムとして対応すべきこと

が明確になっています。

　ISMSは、情報セキュリティを保つための基本動作(基本ルール)の徹底です。そういった意味ではその対策は

交通安全ルールと似ています。

　したがって、ISO14001や9001と違い、ルールに縛られて生産性が低下するような運用の場面は、そんなに有りません。

　もし、そのようなことになるのであれば、コンサルタントの力量が問われます。

危険性があるとすれば、ITシステムで管理できる項目への過剰投資です。

セキュリティ系IT投資の基本は

　◇　コストと効果のバランス

　◇　サービスとセキュリティのバランス

　◇　使い勝手（効率）とセキュリティのバランス

の３点を考慮し、無理のないところから始めましょう

目的を見失わず、健全なISO27001/ISMS取得を目指しましょう

"ISO27001/ISMS取得して心から良かった"と

　自信を持っておっしゃる企業様も多くいらっしゃいます。

• 従業員の情報セキュリティに対する意識が非常に高まり、またモラルも良くなった気がする
• 管理すべき情報の重要性と、捨ててよい情報の区別が明確になり、業務の効率化に手をつけることができた
• 大事な情報を守る仕組みができただけでなく、継続して情報管理のレベルアップができるようになった。
• ISO27001/ISMS取得メンバーが管理職として、リーダーシップを発揮できるようになった

モラル・アップする ?

　モラルとは、倫理観や道徳意識のこと。法令順守はもちろんのこと、公私の区別をきちんとつけることや取引に

おける公正さなど、公序良俗に反しない行動全般をさします。

　しかし、IT社会では、普遍的な価値観は存在せず、規範　=　ルールが存在しないとその時代のモラルは保てません。

ISMSの詳細管理策は、普遍的なもの(組織的対応)と、反普遍的なもの(ITシステム対応)があり、ISMSにより

規範　=　ルールが明確になりますので、当然モラルアップします。