ISO27001新規認証での初めての審査


-shared-img-thumb-S001_megane0320140830145957_TP_V
いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの田口と申します。前回のブログでは「ISO14001スリム化体験記」というものをテーマに書かせていただきました。

今回は…

「ISO27001新規認証での初めての審査」というテーマで書かせていただきます!

そもそも、ISO27001(アイエスオー27001)またの名称をISMS(アイエスエムエス)と呼ばれるものはなんでしょうか?というあなた!
一言で言うと、情報セキュリティに関する世界基準です。

ISO(アイエスオー)というのは、国際標準化機構で略称をISOと呼んでいます。
本部はスイスのジュネーブにあり、色々な基準を設けています。
例えば、普段使っている紙の大きさがA4やB5だったりしますが、これはISO規格で決まった大きさです。ISO269、216、などになります。
その他、写真フィルムなどの感度やねじ、タイヤ、歯車などがもISOの規格として標準化されたものがあります。

ちなみに、世の中にはPマーク(ピーマーク)というものも存在します。
これは、日本の規格となり、JISQ(ジスキュー)と呼ばれています。
JISQには、トイレの便器などがあります。男性の方は、用を足しているときに便器をよーく見ると書いてありますので、興味がある方は見てみてくださいね。

さて、話を戻しましょう。
情報セキュリティに関するISO27001を取ろうと考えているあなた!
取得の理由としては、

・顧客の要求があるから。
・アンケートに答える時に取得を考えているまたは取得中と書いてしまっているから。
・ある程度のセキュリティ体制が整っているという風に見えた方が取引に有利だから。

などの理由が多いと思います。

いえいえ、取得する理由にはなにもケチはつけません!!(笑)
どんな理由があろうともとりたいという気持ちは変わらないのですから!!

では、取得の準備しよう!
セキュリティのレベルを上げなくちゃ取れないよな。
事務所内にパーテーションを置かないと。
サーバルームを作らないと。
パソコンをワイヤーでつなげないと!
あ、警備会社も入れた方がいいな。
そうか、カードキーや指紋認証にした方がセキュリティレベル上がるよな!

云々…

おーっと!!
全部必要ありません!!!

もちろん、セキュリティレベルの向上が悪いわけではありませんが、イメージとしてセキュリティレベルを上げておかないとISO27001が取得できないのではないかというものがあります。
そもそもISOの仕組みとしては、PDCA(ピーディーシーエー)サイクルを回すことにより、仮説→検証→チェック→実行という流れができて、そこで改善を行いますので取得前から設備やらなんやらを揃えることはせっかくのISOの仕組みが台無しになってしまいます。

最低限のセキュリティは必要ですが、今のセキュリティを叫ばれている世の中で最低限のセキュリティができていない会社はいないです。
Plan、Do、Check、Actionのサイクルをしっかりと利用していき徐々にセキュリティレベルを上げていけばいいのです。

じゃあじゃあ、そこまで投資をしなくていいのなら、次の準備だ!
書類を作らないとね。

あれ?何を参考にすればいいの?
ん?規格要求事項に書いてあることの意味がわからない…
PCに番号つけて管理表を作らないと。
来訪者のカードを作成しないと。
事務所の入退室記録も必要だな。
あー!いろいろ文書や記録を作ったらキングファイル2冊分になっている!

なんて経験ある方いませんか?

そんなことなら、このISO総合研究所(アイエスオーそうごうけんきゅうじょ)にお任せください!!
新規の取得から運用代行まであなたの会社のISO事務局として文書・記録の作成を代行させていただきます!!
ムダな文書や記録を作らず、手間も省いていきます。

ISOの書類作成などの業務は、通常の売り上げに関わる業務とは違ってお金が入ってきません。
そんな非効率業務をISO総合研究所は事務局としてあなたの会社のISO業務を行います!
みなさんは通常業務をしっかりと行って頂き、売り上げを伸ばしていだたきたいです。

あと、新規取得で何をすればいいのかわからないあなた!
新規取得のサポートもさせていただきます!

おっと…大変失礼いたしました。
宣伝になってしまいました…
反省です。

話を戻しますと、
何をすればよいのかわからないという方も多いと思います。
そこで、コンサルティングに頼んで相談したりすると思いますが、ところによっては書類が多くなってしまうようなコンサルティングもあります。
悪いわけではありませんが、手間が増えてしまうので十分な検討をされるのが良いと思います。
しっかりとISO27001に必要な書類を把握し、少しでもISOの業務がなくなるようにしてはいかがでしょうか?

セキュリティの施設投資も最低限にした。書類もそろった。
それでは、審査を受けましょう!

あれ?審査機関がたくさんあってよくわからない。
どこに頼めばいいの?
とりあえず、大きい会社にいておけばいいか。

というあなた!
それでもいいですが、審査機関によって審査のやり方が違います。
多くの審査機関は、作成した文書(ルールブック)を見て、これができていないなどと不適合を出してきます。
その後、こうした方がよい。こんな風にルールを作った方がいい。
というようなたくさんのアドバイスをくれます(苦笑)
セキュリティ向上は良いことですが、業務の効率は下がってしまいます。

その他の審査の仕方はあるのかというと、
その他には、まずは会社の現状を把握してくれて今のレベルに合った指摘をしてくれる審査機関もあります。
じゃあ、現場のルールはこうだから文書とちょっと違うので文書を直してくださいね。という不適合です。

今、大きくこの2つのパターンの審査方法があります。
どちらが良いのかは、あなた次第です。
ルールをいっぱい作りたいというならば前者の審査方法をしてくれる審査機関をおススメします。

ISO総合研究所では、しっかりと現場を見てくれる審査機関をおススメしているので、後者をおススメしております。

さあ!審査まで終われば認証はすぐそこです。
不適合が出てしまったら、是正してOKが出れば後は認証書が届くのを待つだけです!

おめでとうございます!!
そして、書類作成などお疲れ様でした!

それでは最後に宣伝となってしまいますが、
ISO業務関わることなどでお困りの方は、どうぞ弊社、ISO総合研究所にお問い合わせ下さい。

事務局としてあなたの会社をサポートします。


メールアドレス