ISMSをもっと効果的に
リターンを最大化する

私たちは、教育研修により「目的:なんのために」を明確にし、理解することを大切にします
私たちは、演習で「手法:どのように実施するか」を実践し、定着させることを大切にします
私たちは、定期的に実践結果を評価し、最適化し、結果を承認し、次のプロセスへと進めます

現状を把握し、課題を明確にして対応

再構築・最適化のために

CAPDでリターンを最大化する

ISMS Society 『CAプロセス定義』

Check & Analyze ー Act:Corrective Action(是正処置)


再構築・最適化・変化に対応するためにCAプロセスが重要で、内部監査が有効に機能していれば安心です。
ISMS Societyでは、CAプロセスに重点を置いてISMSを再構築します。

CAプロセス活性化『3つの方法』をご提案

Check & Analyze ー Act:Corrective Action


対応事例(最も相談の多い事例)

管理策・ポリシーを見直したい(もっと効率的に)



ポリシーを見直したい』その本質は?

ポリシーを見直したいのでサポートしてほしいというリクエストをいただきますが、そもそもなぜ見直したいと思ったのか?を明確にして支援しています。デジタル変革や法改正・顧客要求の変化に伴いポリシー(規定など)が有効に機能しないことがその一因です。法改正や新法制定が相次いでいるのも、社会変化に伴うものです。

(対応事例)

  • マネジメントシステムそのものを再構築
  • セキュリティポリシーの見直し
  • クラウド利用に伴う管理規定・手順の見直し
    (クラウドセキュリティ対応)
  • 働き方改革に伴う規定・就業規則の見直し
  • (クラウドサービスとテレワーク・モバイルワーク)


ポリシー見直し支援について詳細はこちらをご覧ください


業務と整合させたい(もっと効果的に)



ISMSは業務を阻害するという誤解

現場は忙しい、だからセキュリティは専門部門に任せればいい?ISMS担当者が推進すればいい?まずは、そのような誤解を解くことが必要です。ISMSは情報の機密性・完全性・可用性を維持するためにリスクマネジメントプロセスを適用します。機密性・完全性・可用性を損ねることによる業務への影響を低減し、事業目標を達成されるために業務部門の責任者といっしょに情報セキュリティを考えることが必要です。部門固有のリスクへの対応に重点を置き、業務の生産性向上・部門目標達成に貢献できるISMSへの再構築を支援しています。
(対応事例)

  • マネジメントシステムそのものを再構築
  • 業務部門においてISMSが貢献できることを明確化
  • 管理職(ラインマネージャ)研修でその価値を認識いただく
  • 業務部門へリスクマネジメント導入しリターンを最大化する
  • 業務部門とセキュリティ部門(担当)との役割及び責任の明確化
  • 業務プロセスへの段階的な組み込みを支援


認証審査のための作業を軽減したい


私たちの方針『維持・再認証審査はいつでもいい』

マネジメントシステムが機能していれば、審査はその適合性を評価してもらうためのプロセスです。マネジメントシステムが適切に運用され、継続的な改善が実施されていれば、審査直前に審査のために作業する必要はありません。ISMS Societyでは、新規認証においても支援企業の経営陣や担当者に対し基本方針として繰り返しお伝えしています。審査において『軽微な不適合』『是正勧告』を恐れる必要もありません。審査は客観的な視点で、マネジメントシステムの是正改善のポイントを洗い出していただく良い機会と捉え適切に是正処置を実施すれば認証は維持できます。

・認証審査もCA活動の一つと捉える
 (客観的で公正な監査を外部委託しているという考え方)
・審査のために文書化する労力を排除する
・ISMS担当者本来の業務に集中する
 認証審査で『合格』も『不合格』という評価はありません
 (一つでも多くの問題点を指摘頂き是正するというスタンス)

(対応事例)

  • 何が必要で、何が不要?かを特定
  • 組織の状況に合わせてシンプルかつ効果的な運用を提案
  • 業務と整合させた効率的な運用を提案
  • ポケットガイドによる運用を提案


従業員の意識を向上させたい(スキルの標準化と評価)


なぜ必要なのか?何のために?目的意識
ISMSはリスクマネジメントプロセスであることを再認識

稼ぐ力を支えるリスクマネジメント(中小企業白書)定着のために、従業員一人一人がリスク感性を持って業務を推進することが大切です。リスクマネジメントは、変化の激しい環境に適応するために必要な個人のテーマであり、部門固有のリスクを管理する管理者(マネージャ)にとって重要なミッションであり、ビジネスリスクを管理する経営層にとっても重要なテーマです。なぜ今、リスクマネジメントが重要なのか?何をどのように進めれば良いのか?そもそもリスクとは?リスクマネジメント入門から始めます。

(対応事例)

  • ISMS 7.2 力量要求の見直し
  •  力量(職能)を評価するためのフレームワーク導入を推奨
  •  力量(職能)フレームワークに準じた研修プログラムを提供
  •  力量を身につけるための処置(定期教育(更新教育)教材提供や講師派遣)
  • 入門コース開催(受講無料/企業内開催可能)
    • IS(情報セキュリティ)を正しく認識
    • MS(マネジメントシステム)を正しく認識
  • セキュリティ人材育成プログラム提供
  • タレントマネジメント導入


品質マネジメントシステム・Pマークなどと整合させたい



整合により運用管理負担を低減させ目的を果たす

品質マネジメントシステム・環境マネジメントシステム・個人情報保護マネジメントシステム等のマネジメントシステムとISMSは2015年以降MSS(マネジメントシステムスタンダード)で統一されたことにより、整合(統合)が容易になりました。

ISO/IEC 専門業務用指針 第 1 部 統合版 ISO 補足指針の附属書 SL に規定する上位構造(HLS)、共通の細分箇条題名、共通テキスト並びに共通の用語及び中核となる定義を適用しており、附属書 SL を採用した他のマネジメントシステム規格との両立性が保たれている。(出典:JIS Q 27001 0.2 「他のマネジメントシステム規格との両立性」)

管理職(マネジメント)スキルを向上させたい

Ut wisi enim ad minim veniam
quis nostrud exerci tation ullamcorper suscipit lobortis nisl ut aliquip ex ea commodoAt vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet.

ISMS認証についてのご相談・お問い合わせフォーム

主任講師・活動状況の紹介

担当させていただいている研修コースや活動状況を月別にカレンダー形式で公開しました。
IPA(独立行政法人情報処理推進機構)セキュリティプレゼンターに登録し活動を告知しています。
活動告知

マネジメントシステムポケットガイドで推進

ISMS Society入会時にプレゼントしています
実践編の教材として、この一冊(リフィール群)で驚くほど効率的で効果的な運用が可能となります。

審査活動において従来はJSA(日本規格協会)発行のポケット版を使用していました。大変便利なのですが、消耗が激しく毎年2冊を購入しこれまで何冊購入したかわかりません(^^;スケジュール管理などでA5のシステム手帳の使用を機に手作りして自分で使うことが目的でしたが、チェックシートを作ってみたり、用語定義集を作っているうちにISMS認証取得のための構築や運用でも有効に使えるのではと公開に踏み切りました。現時点では、ISMS推進マニュアルのテンプレートやリスク分析表・対応計画書なども完成しこれ一つで運用できることも実証できました。リフィルタイプなので、記録類を別のファイルにアーカイブしたり、出かけるときに差し替えたりと当初の想い以上に便利に使っています。今ではISMS Societyにご入会いただいた時点で、ご入会記念のプレゼントとして基本的なリフィルを搭載したポケット版を提供しています。


ガイドリフィールはCloud for LMSでダウンロード可能です

公開:2018.06.06
更新:2019.05.01