ISMS/ISO27001規格改訂で注意したい3つのポイント

規格改訂とは

現在運用しているISMSの規格「ISO/IEC27001：2005(JIS Q 27001：2006)」が、2013年10月1日に発行された「ISO/IEC27001：2013(JIS Q 27001：2014)」にアップデートされることを意味します。
「規格本文」と「附属書A」が変更されており、現在、2005年版で運用している企業は、2015年10月1日までに移行審査を完了させていることが求められます。

規格改訂対応とは

自社で運用しているISO27001を、「ISO/IEC27001:2013」にならってアップデートする作業を指します。
書類との格闘がメインになりますが、新規に「新しい対策(管理策)」を検討する必要なども生じ、結果によっては書類との格闘に加え、現場での対応を求められる可能性もあります。

例えば、社内でシステム開発を行っている会社などは「開発標準の作成」が必要になるケースもあります。

規格改訂対応で気をつけるべき3つのポイント

『最近、ISMSの担当を任命された』などの状況でない限り、全く何も分からない、という事態にはなりません。
しかし、軽視していると、後々になって担当者自身の首を絞めることになるポイントが３つ存在します。

1. 今回の規格改訂対応に伴って、どこまでの変更に対応しますか？

対応方法は大きく分けて2パターン存在します。

1つは、変更部分対応パターン。
規格改訂の範囲内で、改訂対応だけに注力するというパターンです。
規格改訂のための必要最低限の対応に留め、規程類の刷新などは今後の宿題として扱うことで、喫緊の作業量としては圧縮されます。
見直しなどの対応に費やす時間と労力がない、という場合は、必然的にこちらのパターンになります。

もう一つは、全体見直しパターン。
今回の規格改訂を機会に、社内の規程類の見直しを行い、管理しやすいように規程類を一新するパターンです。
前者の「変更部分対応パターン」に比べて作業規模は大きくなりますが、これまでの文書が「ややこしい」「管理しづらい」という実感をお持ちの場合は、今後の作業負担が軽減されるというメリットがあります。

2. 自社で改訂対応を行いますか？コンサルティング会社に依頼しますか？

自社で規格改訂対応を行う場合のメリットは、コンサルティングに要する費用を抑えることが出来る点です。
一方で、担当者の業務時間が圧迫されることによる人的コストの発生といったデメリットが生じる上に、最終的な成果物としてのマニュアルやドキュメントのクオリティが低下する恐れもあります。

コンサルティング会社に依頼する場合のメリットは、担当者が本来の業務に専念できるようになり、人的コストを抑えられる点と、より使いやすい、完成度の高いドキュメントが出来上がる点にあります。しかしながら、コンサルティング会社に支払うコンサルティング料金が生じます。

3. 現実的なリミットはいつですか？

2015年10月1日には審査までを終えておく必要があるため、社内体制の確立や、コンサルティング会社に依頼する場合の会社選定、実際の作業期間などを考慮すると、2014年12月を、規格改訂対応「動き出し」のリミットとして捉えるようなスケジュールが望ましいと言えます。

出所：JIPDEC『ISO/IEC27001:2013への移行計画について』

こちらも一緒にご覧ください。

• コンサルティング会社を見極める3つのポイント
• 株式会社スプーン様の規格改訂対応事例