ISMSは運用が大変?コンサル会社がISMS運用で気を付けている点

ISMSは取得時に情報資産を洗い出したり、リスクアセスメントをやったりと、やること盛り沢山で、苦労された方も多いかと思います。
苦労が多いからこそ、取得時の喜びはすごいもので達成感もあるかと思います。
しかし、ISMSは取得も大変ですが認証を取得した後も大変です。

リスクアセスメントの見直し、教育、内部監査や毎年の審査。と言う形でやることは盛り沢山です。
今回は運用において、LRMが実際に自社のISMSの運用でやっていることを少しではありますが、お披露目したいと思います。

LRMにおけるISMS運用体制

まず、LRMにおけるISMSの運用体制ですが、コンサルや社内管理をしている部署から、複数名が事務局として活動しています。
新人のコンサルタントも、LRMに入社するとまずは事務局として社内のISMSの活動に参加してもらいます。
会社規模を考えると、事務局の人数は多いかもしれないですが、コンサルタントは自社のISMSの運用でISMS上やるべきことや色んな見識を広げてもらって、コンサルタントとして独り立ちの糧にもしてもらっています。
また、新しい人からの様々な意見をもらうことで、運用の仕組みに違って意見を取り入れることが出来る効果もあります。

ISMS運用のコツ

ただ、そんな中でも運用上、やるべきことは様々あります。
リスクアセスメントですが、LRMでは毎年方法を変えて、リスクアセスメントから見えてくるリスクに違った見解が常に見えるように心掛けています。
例えば、従業員一人一人に個人単位でリスクアセスメントを実施させてその人が業務上でどんなリスクを考えたり、感じているかなどを洗い出したりもしています。
それを上長がチェックもしますが、場合によってはリスクの認識が弱いのでリスクアセスメントをやり直しなんてことも想定できます。

また、ルールについても「マニュアル」と言ったものは最低限にした上で社内ルールを極力社内wikiとしてまとめ、従業員がすぐに検索・参照しやすいように作りこんでいます。
ルール違反はよろしくないことですが、ルールを知らないことも重大なことになってしまうので、すぐに探せるようにしていくことでルールを確認しやすくし、知らないケースを減らすようにしています。

そんな風に運用することで得られたメリットや効果

メリットとしては、やはり従業員のルールやセキュリティへの意識は高くなってきます。(情報セキュリティを商売にしている会社なので当然かもしれないですが(笑))
自身で情報セキュリティ上のリスクにどんなものが想定されるか、手を動かしたりするので、実際に自分が当事者になった気持ちで考えることになり、意識も高まりますし、ルールも見やすく、確認しやすくすることで理解も早まります。
そうすることで自ずとしっかりとした運用ができるようになってくるわけです!

LRMでは自社のISMSの中でトライアンドエラーを繰り返しながら、様々なISMSの取り組みを心がけてきました。
自分たちの自社での実体験に基づく経験だからこそ、コンサルタントは実際にコンサルティングの場でも自分たちが実体験した内容を基にお客様のサポートを行っていますので、単に知識だけでコンサルティングを行うコンサルタントとは一味も二味も違っています!

お気軽にご相談ください

サービス資料請求
ダウンロード(無料)
お問い合わせ
お問い合わせフォーム

お電話でのお問い合わせもお待ちしております

TEL:03-5719-6234

受付:10:00~18:00 ※土日祝日、年末年始は除く