コンサルティングポリシー

ISMSは、認証することが目的ではありません。<br />
ISMSは、業務や経営を改善する為の手段です。

LRMは設立以来、ずっとISMS認証取得コンサルティングサービスを提供し続けており、今まで多くの企業のISMS活動に携わる事が出来ました。
ISMS認証は、ISO27001という規格に適合していることを審査により確認して、規格に適合している企業に対して与えられる第三者認証です。

実は、世界でのISMS取得件数はダントツで日本が一番です。
多くの日本企業がISMSを取得しています。
そんな中で、ISMSに対して否定的な意見を耳にする機会も増えてきました。

ある経営者の集まりで、ISMSを取得して2,3年経っている企業の経営者から
「ISMSは取得しているだけで、全く仕事の役にたっていない」
という言葉をいただきました。
LRMがコンサルティングしたお客様ではないのですが、非常に心に突き刺さってくる一言でした。

毎年の審査への対応はどうしているのか伺うと
審査員が来るときにだけ、審査員対応をすれば問題ない。普段はISMSのルールなんて全然守っていないよ。」とのこと。

色々お話を聞いていると、そこの会社では最初は「ISMSを取得すること」を目標として、
コンサルティング会社も「審査に通るため」のことしかしていなかったようです。

実際に自社で運用することは考慮せずに、審査に通るために
審査に通るための運用をしており、結果的にはISMSのためだけの独立したルールになっているようです。

その場で、ISMSの有効活用の方法、認証取得と情報の取扱方法などの
お話をさせていただくと「そんな風にしても良いの？」と本当にビックリされていました。
ISMSは本当に自由度が高いツールです。「どのようにするのか？」は全く規格では触れられていません。
全て自社で決めていくものなのです。

自由度が高いツールなので、認証取得だけのものにするのではなく、どうせなら会社の役に立つように使っていきましょう。

ISMSは、取得することや認証を維持することが目的ではありません。ISMSというツールを利用して、現場の業務を、会社の経営を改善していく事が本当の目的です。

少なくともLRMは、そういった想いでISMSコンサルティング活動を行っています。

規格(ISO27001)よりも現場を見ることによりお客様の業務や経営のお役に立てるために
LRMでは以下の3つのお約束をします。

その1. 簡単に「禁止」とは言いません

ISMSで禁止している事項はほとんどありません。
TwitterやFacebookの利用。またはGoogleApps等のクラウドサービスの利用などは全て自社で判断をしていくべきことです。
MixiなどのSNSや、Evernoteなどのサービスを使っていてもISMSは取得できます。

その2. 現場で使える仕組みを作ります

ISMSは会社での情報の取扱い方法を決めていきますので、全く仕事の役に立たないということはありえません。
時には、セキュリティレベルを上げることにより効率が犠牲になることがあります。ただ、効率性は落ちますが、セキュリティレベルは上がります。

全く仕事の役に立たないと言うことは、現場の事を全く考慮しない仕組みを作ってしまっているからです。
実際の現場の人がどのようなツール、ソフトを使って、どのように働いているのかを確認していく。そうして本当の意味で、現場でツカエル社内ルールを作っていきます。

その3. 今よりできる改善を積極的に提案します

「現状のルールを尊重します」と言うと、聞こえはいいかもしれませんが、LRMではセキュリティ面でも業務効率面でもより望ましい方法があるのなら、積極的にルールを変えるように提案をします。
時には、有料のシステムを提案・紹介することもあると思いますが、長い目で見てお客様にとってそちらの方が望ましいと思うものを心がけております。

いつでも顧客毎に最適な提案が出来るように、情報セキュリティ関連は元より広い意味でのIT関連の商材・サービスの情報を収集しており、それぞれのお客様に適した内容を提案していきます。
もちろん、どのような方法をしていくかの最終決定はお客様自身です。LRMが奨めたからと言って、導入する必要はありません。

では、導入しない場合はどのようにしていくのか？
そういった方法も一緒にトコトン考えていきます。