公共組織や大手企業などをはじめとして、委託先に一定のセキュリティレベルを求めることが多いです。
その確認として、「ISMS認証」の有無を確認されることが多いのではないでしょうか。
この記事を読んでいる皆さんの中にも、「よくISMS持ってるか確認されるな…」という方もいるかもしれません。
ただ、ISMSを取得したいという気持ちはありながらも、「割ける人手が…」ということも少なからずあるかもしれません。

そこで今回は、「ISMSに取り組みたいけど人手が足りないとき」にどのような方法を使えばうまく取り組むことができるのか考えてみましょう。

レベル1：ISMSできる人は確保できそうだから効率化重視で！

過去に、ISMSの運用に関わっていた、ISMSのことを知っているという人がいる場合、自社のみでの運用も不可能ではないでしょう。

そういった場合には、「ISMSの運用をサポートできるツール」を利用するのがいいのではないでしょうか。
ISMSを知っている人がいる場合、運用自体は可能かもしれませんが、様々な文書・記録の作成や管理には多大な工数がかかります。そこで、サポートツールを利用することで、担当者の工数も減らして効率化をすることが期待できます。

また、「とはいえやはり外部もサポートもほしい…」という場合もあると思います。
その場合には、次にご紹介するコンサルティング利用の検討なども行うと良いかもしれません。

LRMでは、情報セキュリティ教育クラウド「セキュリオ」を提供しており、セキュリオ上で情報資産管理やリスク管理、教育などISMSの主要な取り組みをカバーすることが可能です。

レベル2：担当者は確保できそうだけど自力では難しい…

ISMSの取り組みの担当者自体は任命できるという組織も多いのではないでしょうか。
ただ、その担当者を専任としてISMSを一から学んでもらってすべて行ってもらうのは現実的ではないかもしれません。

その場合には、担当者は社内での取り回しなどISMSの取り組みをメインで回しながらも全体的な流れのサポートなどは、外部のコンサルティングなどを入れて作業負荷をかけすぎずに取り組める環境を作ることをおすすめします。

LRMでも組織に合った仕組み作りを大切にしたSecurityDietの考え方を基本としたコンサルティングサービスを提供しています。

Security Dietについては別途「Security DietにISMSはぴったり！」をご覧ください。

レベル3：本当に人が確保できない

組織の情報セキュリティ体制の構築は行いたいけど、今の状態じゃ本当にISMSには人員を割けないという組織も存在するかもしれません。
ただ人員を理由に情報セキュリティ対策が遅れてしまうのも嫌だということもあるでしょう。
その場合は、ISMSの取り組みを外部委託する「BPO」という形もひとつの選択肢かもしれません。

まずは外部に取り組みをお願いしながら体制を構築・運用して、自分たちで自立できるタイミングでその体制を受け継ぐことも可能です。
また、自分たちも関わりつつも情報セキュリティの専門家にメインで運用を行ってもらう方が、組織の情報セキュリティレベルを向上させることができるかもしれません。

LRMでも、「セキュリティBPO」という形で、ISMSの事務局業務代行サービスを提供しています。
ただ、事務局を運営していくだけではなく、後々には組織に運用ノウハウを引き継ぐことが出来たり、組織の情報セキュリティレベル向上も同時で進められるようなサービスになっています。

まとめ

今回は、「ISMSに取り組みたいけど人手が足りない…！」といった際におすすめの対応方法についてご紹介しました。
ISMSの取り組みをすべて自力で管理するには多大な工数が発生します。
自分たちの業務を圧迫せずに効率的に取り組みを進められる方法を見つけていただければと思います。

それぞれのレベルに合わせた様々なサービスをご用意していますので、気になった方はお気軽にお問合せ下さい。