本当に役立つISMSの構築を目指して

はじめまして　自称おっさん度軽度のコンサルです

はじめまして、ISOコンサルのYと申します。アラフィフのおっさんですが、公共の乗り物の中で、靴を脱いで、人に嫌な思いをさせることの無いようにと、考える程度のおっさん度だということを、アピールさせてください。これ、私の中では割と大切な部分なのですが、まぁ、それなりのおっさんです。

ISOの業界って、本当におっさんが多い。おそらくお仕事図鑑などの本にも掲載がないのではないかと思われるISO審査員。アラフィフで業界に入ったとき、年上ばかりでした。が、わりと最近は周りに若い世代の審査員が増え、楽しくやらせてもらっています。

ISMS認証って？

ISMSの認証をとりたいのですが

「ISMSの認証をとりたいのですが」という組織様のお話を聞くと、大体何パターンかの動機に絞られます。

• 取引先から取得を求められた

• ISMS認証を取得していることが、入札要件になることが増えてきた

• 預かる情報を確実に守りたいから

などが多いでしょうか。外部からの要因や、自発的な要因など、どれもごもっともなものとなっています。
ではその、ISMSとはなんでしょうか？
もちろんInformation Security Management Systemの頭文字なのですが、まず大切なのは「マネジメントシステム」の部分です。

マネジメントシステムとは何か？

マネジメントシステムとは、「何かを確実に管理するためのPDCAの仕組み」と脳内変換してください。(この業界の諸先輩方、どうかこの先いろいろと大目に見てください。)
方針を定める→目標を定める→必要なものを定める→実施する→評価する→改善する
を、繰り返すための仕組み。それがマネジメントシステムです。
ISMSは、「情報セキュリティ」“の”「マネジメントシステム」ですから、「情報セキュリティを確実に管理するための仕組み」のことなんです。

ISMSの認証をとるとは？

これ以外に説明出来ない人多いと思います。
情報セキュリティのマネジメントシステムを構築するには、こうしたらいいよ！ということがISO/IEC 27001という規格に書いてあります。そこに書いてあるように仕組みを構築し、第三者である審査機関から「認証」されること。それが世間一般にいう、ISMSの認証を取得するということです。

で、このnoteでは？

このnoteでは、以下の方へのお手伝いとして、いろいろなご説明をします。

• ISMSの構築をしたい方

• ISMSの認証取得をしたい方

• ISMSの理解を深めたい方

私について

私は、プロフィールにも書きましたが、現在審査員としても活動する傍ら、ISMSのコンサルタントとして、組織内のISMS構築もお手伝いしています。そんな活動の中で、おっさん度最強の審査員から押し付けられたあまり役に立たない仕組みに苦労されている組織様や、コンサル業者さんから高額で購入した書式に、ただ埋めるだけの「認証取得のための書類作り」を繰り返す組織様をたくさん見てきました。
本当に役にたつ仕組みを構築してもらいたいという気持ちから、自分の思うISMSを皆さんに伝えていけたらと思います。