ISO27001(情報セキュリティマネジメントシステム)が2013年版として改正されました。また、3月20日にはJISQ27001:2014版が発行されたました。既に認証を取得されている企業様は、ご存じのとおり2015年10月1日までに2013年度版の要求を満たしたマネジメントシステムを構築及び運用を行い、認証機関の移行審査を受ける必要があります。
弊社においては、認証取得済企業様のISO27001:2013改訂支援をさせて頂いています。この支援を通じて分かったことがあります。
1.多くの企業様は現行のISO27001:2005の規格要求事項をあまり理解できていない
2.現行のISO27001:2005のシステムは当時のコンサルタントのひな形で機械的に運用されている
3.管理目的及び管理策が実態業務にあっておらず、効果的に運用されていない
4.現行のシステムが複雑すぎて、負荷がかかっている
端的にいえば、ISO27001:2005の認証取得の際に当時のコンサルタントの雛形に頼り、規格要求事項の理解がされていいなかった。ゆえに雛形の文書や帳票が規格要求のどこに関係しているか理解できておらず、2013年度版のどの要求にあてはめてよいかわからないようです。
認証機関が行っているISO27001:2013規格要求セミナー等では、規格要求事項の対比表が配布され、この対比表を使用すれば改訂は難しくないと説明しているようですが実態はそうではないようです。
では、2013年度版への改訂を円滑に行うにはどうすればよいのでしょうか。2つの選択があると思います。
選択肢1→ISO27001:2013の規格要求事項(ISO27001:2005の規格要求と対比しながら)の理解を深めて、改訂する
選択肢2→コンサル会社からISO27001:2013雛形を一式購入する(高価格)
弊社では、選択肢1の支援を行っています。現行のシステムを活かしながら効率的にISO27001:2013版への改訂を行います。規格要求事項の理解を深めて頂き、企業様にとって効果的な情報セキュリティマネジメントシステムの運用を支援いたします。
ISO27001:2013への改訂でお困りのことがありましたら、お気軽にお問い合わせください!
コメント投稿にはログインが必要です。