近年、インフラとしてのインターネットの急激な普及、情報システムに関連した事件・事故の多発、企業のコンプライアンス体制の整備についての社会的要請等、激変する経営環境の中にあって、IT統制のための有効な手法として情報セキュリティに関する国際標準規格である「ISO27001」が注目を浴びています。
ISO27001は、企業に情報セキュリティに関するマネジメントシステム(ISMS)の確実な稼動を求めており、認証を受ける企業はこのISMSを構築・運用し、定期的に内部監査を実施し、その継続的改善を図る必要があります。つまり、PDCA(Plan計画・Do実行・Check監査・Act見直し)の機能を持つマネジメントシステムを有することが認証合格の最低条件なのです。
しかし、このPDCAに誤解が多いのも事実です。なぜPDCAなのか、よく考えてみて下さい。
ISOの基本理念には“まず出来るところから始める”という考え方があります。
PDCAは本来、すぐ出来ることを計画して実施し、少しずつ、しかし継続的に状況を改善していく(=スパイラルアップする)ための一連の流れを会社の中に作るための考え方です。この考え方の下、現場の具体的な仕組み(=マネジメントシステム)を作れば、会社は社長がいなくても動き、そして成長を続けることができます。せっかくISO認証に挑戦するなら、会社の売上や利益の増大につながるISMSを構築して頂きたいと願います。
そのために忘れてはいけないことは、
“このルールが本当に会社の発展や自分達従業者の成長につながるのか?”と、自問自答しながら進むことです。
これさえ守っていれば、無駄のないISMSを構築することができます。
また、構築したISMSは運用できなければ意味がありません。余計なルールが増えるだけです。日常業務の流れの中で無理なく遵守できるルールである必要があるわけです。
“本当にこのルールを守れるのか”と、常に検証してみましょう。
弊社の提供する「ISO27001認証取得支援コンサルティング」は、現段階の業務フローの見直しをベースに、お客様に真の業務改善につながるISMSをご提供します。
そのモットーは、
“小さく生んで大きく育てる。”
お客様の多様な情報セキュリティ・リスクの低減を図るために、最小の経営資源で最大の効果を挙げるためにはどうすればよいのか。
私たちの興味の対象はここにあります。
|