ISMS取得を機にネットワークやシステムを整備する会社は多い

ISMSを取得するのを、1つの機として社内のネットワークやシステムを整備する会社が多くあります。

今までは、ユーザ管理とかを特に行う訳でなくクライアントPC単位でユーザを作って簡単なファイルサーバでみんなが全て共有できるようにしていたという会社がActiveDirectoryを構築して、ファイルサーバも部署や職位でアクセス権を設定していくパターンなどが比較的多く出会うケースです。

ISMS取得を機に社内システムやネットワークを整備するのは非常に素晴らしいことですしタイミング的にも非常に良いと思います。

ただ、中にはより完璧な（？）システム管理を目指して、それが「出来上がってから」でないとISMS取得に踏み切らない会社も存在します。

ISMS取得の段階で完璧な整備は不要

もちろん、社内システムを一新して「これでどうだ」と整えてからISMSを取得するのも悪くはないと思いますが、そういった会社が陥る悪いパターンとして「システムが出来上がるまで」というのがいつまで経っても実現しない時があります。

明確に時期を決めて、「この時までにシステム整備をする」と決めている場合は良いのですが「システム環境が整ってから」といしているとダラダラと長引くケースが多いように思います。

ISMSは、システム整備の「途中でも」取得することは可能です。

例えば、システムの整備として1から10のことまでを実施したいと考えていて、現状では1から5までしか実現できていない。今後数年かけて10まで実施する予定ですといった場合に、5までしか実現できていない段階でもISMSの取得は可能です。

ISMSは、「Information Security Management System」という名前が示すようにマネジメントシステムですので、システム整備もISMSのPDCAの1つのP(Plan)としていけば良いのです。

ISMSを取得するのがゴールではなく、そこからの本当のスタートです。

100%を待ってからスタートするのでなく、出来るだけ早くスタートを切るのも組織の成長の為には有効だと思います。