はじめまして、ISOコンサルタントの中島と申します。
私は10年以上、多くのISO取得をサポートしてきました。
コンサルティングを行っていて強く感じるのは、「ただ取得しても意味がない」ということです。
確かに、情報セキュリティの重要性が認識され、ISO27001(ISMS)の取得企業数は年々増加しています。(2008年7月11日で2,729社)

取得企業数は増加していますが、実際は、認証法人でも情報セキュリティ事件・事故が起こっているのです。
また、事件・事故が起こらなくても、きちんとした運用ができていないまま、「取得しただけ」になっている場合もあるのです。
つまり、取得後にきちんと運用されているかどうか、ということは非常に重要なことなのです。本来は当たり前のことなのかもしれませんが、その当たり前のことが行われていないのです。
何となく取得してしまうと、「取得後」が大変です。
確かに認証機関からの「お墨付き」がもらえるので、信頼性や企業イメージはアップしますが、スムーズに運用できなければ、ただ単に現場で担当する方の負担が増えるだけになってしまいます。


ISOコンサルタントの力量は千差万別です。
コンサルタントの力量によって構築具合が変わってしまいます。
コンサルタントは「そのときだけ」ですが、運用していくのは御社です。「構築の仕方」が重要になるのは言うまでもありません。

いくつか例をあげてみますと…

○勉強会を開いて、「あとは作っておいてください」と言う。
→担当者様がISOの専門的なことに精通しているということは少ないですから、かなりの負担になることが予想されます。

○ほとんど訪問せずに、構築しようとする。
→当然ですが、コンサルタントが訪問しない分、御社の負担が増えるか、もしくは、構築するための時間がかかってしまいます。

ISOは、一度構築すると、あとで修正することが難しいものです。
それゆえに、「どのように構築されているか?」ということは、非常に大切なことです。


ISO27001は、情報セキュリティの認証制度です。
情報セキュリティの重要性については、テレビや雑誌でも、頻繁に取り上げられるようになりました。特に、情報セキュリティに関する事件・事故は、大きなニュースとして、報道されています。
情報資産を守るシステムが企業内・事業部内に構築されているかどうかを、ISO27001で審査されます。
似たような制度として、「プライバシーマーク制度」があります。
セキュリティの認証制度としては共通していますが、内容に関して違いがあります。プライバシーマークは、「個人情報の管理」ですが、ISO27001は「情報資産の管理」です。つまり、ISO27001の方が守るべき範囲が広いのです。


ISO27001を取得するメリットとデメリットがございます。
その2つについて、説明したいと思います。

メリット

○認証機関からのお墨付きが得られるので、企業イメージがアップする
○新規のお客様からの信頼度がアップする
○情報セキュリティのレベルが上がり、企業競争力がアップする(他社との差別化)
○従業員のセキュリティ意識が高まり、企業体質改善
○曖昧な部分がなくなるので、役割・責任がはっきりする
○情報漏えい事件を未然に防止、または被害を最小限とどめることができる
○自治体の入札条件として、入札資格を得ることができる

簡単にいえば、「対外的な信用」と「入札資格」を得ることができます。時代の流れとしても、情報セキュリティが重要になっています。

デメリット

●取得しても、正しく運用されていないと事件・事故が起こる可能性がある
●きちんと構築しないと、担当者の負担が増えるだけになってしまう
●一度システムを構築すると、あとで修正することが困難

繰り返しになりますが、ISOは取得後が大切です。取得だけでしたら、どんなコンサルタントでも行うことができます。しかし、「その後」のことを考えるのでしたら、大きな損失にならないためにも、きちんと構築されることをおススメします。


弊社では、取得後もしっかり運用できるシステムを構築するためのお手伝いをしています。同時に、訪問回数を増やすことにより、より早く取得できるコンサルティングを行っています。

弊社のISO27001コンサルティングの特徴をご紹介します。

私が、御社を把握するためのヒアリングを行います。こちらが一方的に話すのではなく、御社の状況をお聞きすることに注力しています。そうすることで、「どのようにシステムを構築していけばよいか?」ということが分かります。

マニュアル作りに関しては、「何か大変そうだ」という思いを抱かれているかもしれませんが、ご心配なさらないでください。弊社で、ほとんどのマニュアル作成を行いますので、御社の労力を大幅に削減できます。

通常であれば訪問回数は月1、2回ですが、弊社では、週1回(月4回)程度で訪問させていただいております。そうすることにより、ISO27001を早く構築することができ、早く取得することができます。

私はISOのコンサルタントに関して、10年以上の実績があります。また、審査の際のコツやツボを把握しています。

マニュアル・規程をシンプルに作りますので、取得後もきちんと運用できるシステムになります。複雑に作れば作るほど、現場の方々は混乱します。事件・事故が起こってしまう原因になるのです。

取得しただけでは終わらせない、シンプルに構築し、最速で取得できるISOコンサルティングの特徴は以上の5つです。

無駄な損をしないためにも、しっかりとしたシステムを最速で構築しませんか?

情報セキュリティに関するしっかりとしたシステムを構築しておけば、後々発生するかもしれない、大きな損失を避けることができます。
情報漏洩事件が起これば、一気に信頼性をダウンすることになりますので、絶対に避けなければなりません。特に、情報を多く保有している企業様は、できるだけ早くシステム構築されることをおススメします。


ISO27001認証取得までの流れは、以下のようになります。

・ 経営トップによる導入宣言
・ 推進体制の構築
・ 情報セキュリティマニュアルの作成支援

・ ISMS基本方針、セキュリティ基本方針策定支援
・ 資産の抽出
・ リスク評価方法の決定及びリスクの特定支援
・ 規定類の作成支援
・ 適用宣言書の作成支援
・ 手順書・様式の見直し、作成

・ 内部監査員の養成(外部研修)
・ 情報セキュリティマニュアル運用と見直し
・ 手順書運用と見直し

・ 内部監査の実施支援
・ 経営者によるマネジメントレビューの実施支援

・ 第1段階審査指摘事項の是正処置支援

・ 第2段階審査指摘事項の是正処置支援


ISOコンサルタントの役割は、効率的にISO27001を取得して、効果的に運用することにより、事件・事故を未然に防ぐサポートをすることです。
そのためにも、弊社では、実践する側の視点を大切にしています。
パソコンなどの機器やインターネットの発達により、情報セキュリティに対しての認識は日々増しています。企業内・事業所内には、大量の情報が溢れています。事件・事故が発生しやすい環境になっているのかもしれません。
実践する側の視点を大切にしているからこそ、「取得後も維持しやすいシステム」を構築するように努めています。
もし、御社が情報セキュリティに関心がおありであれば、一度お問い合わせください。
きっとお役にたてると思います。


「こんなにカンタンにできるのですね」と驚かれることがあります。
資料はシンプルに作るからこそ、取り組んでいくことができます。
ご質問などございましたら、お電話またはメールでご連絡ください。