カラオケ店で考えるISO27001:2013(ISMS)「7.支援」


9313a7cd73415d4b2062cc351fd1a74f_m-min

こんにちは、いつもご愛読いただき誠にありがとうございます。
ISO総合研究所コンサルタントの久米(クメ)と申します。

今年もあと1か月ほどとなり、忘年会シーズンですね。
今回は、2次会で使用するであろうカラオケ店で考える「7.支援」について解説させていただきます。

「なぜ??カラオケ店??」と考えられたと思います。
実は私、以前は某カラオケ店で働いておりました。

ということで、現在は弊社でコンサルタントをしておりますが、当時の経験をもとにISO27001:2013(ISMS)の要求事項を紐解いてみようという企画です(笑)

今回は、「7.支援」に含まれる下記を順に解説していきます。
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理

7.1 資源

規格要求事項
組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

解説
カラオケ店でいうと、マイクやカラオケ機器、スピーカーやデンモク等、カラオケを楽しむために必要な備品やドリンクや料理を運ぶスタッフの事です。インターフォンも大事な備品ですね!!

7.2 力量

規格要求事項
組織は、次の事項を行わなければならない。
a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。
b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。
c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。
d)力量の証拠として、適切な文書化した情報を保持する。
注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

解説
カラオケ店でいうと、カラオケ機器のトラブル対応やお客様対応、ドリンクが作れる、料理の配膳ができる、キャンペーンイベントの説明等です。
私がカラオケ店に勤務していた時はコラボレーションイベントが多かったので、キャラクターの説明やどんなストーリーなのかなどの勉強会を実施していました。

7.3 認識

規格要求事項
組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。
a)情報セキュリティ方針
b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献
c)ISMS要求事項に適合しないことの意味

解説
カラオケ店でいうと、大事なことや会社の方針を毎日の朝礼、終礼やスタッフノートなどで伝えること。
例えばイベントの注意点やクレームがあった場合、共有の場を設けて全従業員が認識することです。

7.4 コミュニケーション

規格要求事項
組織は、次の事項を含め、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。
a)コミュニケーションの内容(何を伝達するか。)
b)コミュニケーションの実施時期
c)コミュニケ一ションの対象者
d)コミュニケーションの実施者
e)コミュニケーションの実施プロセス

解説
カラオケ店でいうと、お客様へ季節ごとのイベント、季節ごとの料理、ポイントカードやDM発送などがそれにあたります。自社のHPも含まれます。
従業員へは、メニューの試食会やアルバイト会議などです。

7.5 文書化した情報

規格要求事項
7.5.1 一般
組織のISMSは、次の事項を含まなければならない。
a) この規格が要求する文書化した情報
b) ISMSの有効性のために必要であると組織が決定した、文書化した情報
注記 ISMSのための文書化した情報の程度は、次のような理由によって、それぞれの組織で異なる場合がある。
1)組織の規模、並びに活動、プロセス、製品及びサービスの種類
2)プロセス及びその相互作用の複雑さ
3)人々の力量

7.5.2 作成及び更新
文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。
a)適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)
b)適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)
c)適切性及び妥当性に関する、適切なレビュー及び承認

7.5.3 文書化した情報の管理
ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。
a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。
b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって、該当する場合には、必ず、次の行動に取り組まなければいけない。
c)配付、アクセス、検索及び利用
d)読みやすさが保たれることを含む、保管及び保存
e)変更の管理(例えば、版の管理)
f)保持及び廃棄
ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて、特定し、管理しなければならない。
注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧及び変更の許可及び権限に関する決定などを意味する

解説
カラオケ店でいうと、接客マニュアルであれば、お客様から頂いた声をもとに都度更新、
各イベントマニュアル等であれば期間限定なのでいつまでにやるのか?等を明確にすることです。紙でもデータでもどちらでも構いません。
誰が?いつ?どこに?どうやって?がわかるように明確にしておくことが重要です。

最後に

長々とご説明しましたが、ご理解いただけましたでしょうか?
もっと話が詳しく聞きたい!という方は、下記よりISO総合研究所にお気軽にお問い合わせ下さい!

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【ISMS総研】メールマガジン登録

ISMSに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス