ISMS(ISO27001)は意味がないのか?理由と結論

ISMS(ISO27001)は意味がないのか?


ISMS(ISO27001)は意味がないのでしょうか?
なぜISMS(ISO27001)は意味がないと言われるのでしょうか。
「意味がない」なんてことはありません。自社のルールをそのまま落とし込むことで、ISMSが意味のあるものになります。ISMSのルールを作って自社のルールにするのではなく、自社のルールを作ってISMSにあてはめるのがいいでしょう。
同じ情報保護の規格であっても、ISMSはプライバシーマーク(Pマーク)よりセキュリティ範囲が広いこともあり、取得する企業は年々増えています。

1.ISMS(ISO27001)「意味がない」と言われる理由

ISMS(ISO27001)を取得されている企業のご担当者さまから、「ISMSって意味ないんでしょうか?」と聞かれることがあります。

ISMSを取得するには、規格の要求事項通りに運用できていることを証明する必要があります。

規格本を読んで理解したり、
規格要求事項で求められている文書を作成したり、
新しい方針を掲げたり、
フォーマットを作成したり、
記録を作成したり…とやらなければいけないことがたくさんあります。

それなのに、苦労して作った書類が日常業務に役立つのか?となった際、役立てられている企業が少ないのです。
それが「ISMSは意味がない」と言われる理由でしょう。

つまり、日常業務では使わないISMS(ISO27001)の審査のための書類を作ってしまっているのです。

個人情報保護の認証であるプライバシーマーク(Pマーク)を取得する意味についてはこちらの記事をご覧ください。
プライバシーマーク(Pマーク)は意味がないのか?理由と結論

2.それなのにISMS(ISO27001)が取得されるのはなぜ?

ISMS(ISO27001)を取得されている企業は2021年6月現在で6,446社です。

2019年と比べると、600社近く増えています。
海外の審査機関で審査を受けている企業も含めるともっと多いでしょう。

「意味がない」と言われているISMSを取得する理由は、
時代とともに情報セキュリティに着目する企業が増えているからです。

電子化が当たり前になり、
情報は紙ではなくパソコンの中やクラウド上に保管される機会も増え、
場合によっては一瞬にして自社の機密情報が世界に漏洩するリスクを抱えているところも多いでしょう。

そのような理由から、「ISMSを取得していること」が大手企業との取引条件や官公庁の入札案件に含まれるのが当たり前になってきております。

2020年までは、ISMSを取得していれば、「他社と差別化できる」という認識だったのが、最近では「ISMSは取得していて当たり前」という流れになってきているようにも感じます。

3.結論:ISMS(ISO27001)って本当に意味がないの?

そんなことはありません。
意味のある運用ができている企業もたくさんあります。

意味のあるISMS(ISO27001)にするために大切なことは、
構築の段階で、「ISMSのためだけのルールを作らない」ということです。

NG!・・・ISMSのルールを作って自社のルールにする
OK!・・・自社のルールを作ってISMSにあてはめる 

9割以上の企業がISMSのためだけのルールを作ってしまっているのが現状です。
自社のルールをそのままISMSのルールにすることで、意味のある運用に変わってきます。

そのためには、ルールを作る前に、まずは現状把握からはじめるのが良いでしょう。
セキュリティに関するルールって何があったっけ?
暗黙のルールみたいになってるのってどんなものがあったっけ?
ルールとは呼べないようなレベルのものでも、とにかく現状のルールをすべて洗い出して、それをそのままISMSのルールにしましょう。

ISMSは現状のルールで審査を通すことが可能です。
よく「ISMSを取得するには新しいルールを作らないといけない」と勘違いされることがありますが、今のルールのまま審査を通し、自社のセキュリティ体制の現状把握をすることで、自社のセキュリティに対する課題が色々見えてきます。

ISMS取得後に、優先順位を決め、計画を立てて一つ一つ改善していくことで、自社のセキュリティレベルは確実に上がっていくでしょう。

まとめ

いかがでしたでしょうか。

ISMSが意味があるものになるか否かは、はじめのISMS構築方法が大きく影響してきます。

情報マネジメントシステムというのはあくまでシステムの構築になります。
自社で悩みながら作成しても、ルールや文書類が多く、運用しづらいシステムになってしまいがちです。
なのに長年運用しなければならず、苦労されている企業をたくさん見てきました。

大切なことは、ISMSのためのルールをつくるのではなく、現状把握をして自社のルールをそのままISMSのルールにあてはめていくことです。

取得したはいいけれど、「意味がない」状態になってしまわないよう、一度専門家に相談してみるのもいいでしょう。

カテゴリー: