認証取得後にすべきこと
ISO/IEC27001の認証取得後、情報セキュリティマネジメントシステムを継続的に効果のあるものにするには、課題を洗い出し、改善していくことが重要となります。
多くの企業では、どのような課題が出てくるのでしょうか?
情報セキュリティマネジメントシステムにおける課題
ISO/IEC27001の認証を取得した会社でよく課題となっている内容をいくつか挙げてみます。
- (1)リスクアセスメントやその見直しが効果的にできていない
- (2)肥大化してしまったISMS文書をスリム化して、実態に即した文書に作り直したい
- (3)内部監査が形式だけになってしまい、改善に繋がらない
(1)リスクアセスメントの課題
「初期の構築時に、取得だけを目的としてしまっていたため、あまり現実的ではなく複雑な仕組みを構築してしまった」なんて話を聞くことがあります。
このような課題が出てしまった場合、リスクアセスメントの本質を見直し、なるべくシンプルで事態に即した仕組みに改善することが必要となります。
(2)ISMS文書の課題
構築の時点で規格要求事項を拡大解釈してしまい、必要以上に文書を作ってしまった。などがあります。
この課題は「文書化について再度見直しをする」、「文書のスリム化の手法を理解し、再作成を検討する」などの改善が必要となります。
(3)内部監査の課題
内部監査をすることがゴールになってしまっている、というケースもあります。
内部監査は改善事項を見つけるための手段であり、改善に繋げなくては意味がありません。
意識の改善やインタビュー、報告書を見直す必要があります。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/blog/wp-content/themes/iso27001_ver4/images/f_tel.png)