ISO27001内部監査員養成研修会に参加してきました
こんにちは。上田です。
つい先日、ISO27001(ISMS:情報セキュリティマネジメントシステム)の内部監査員養成研修会に参加してきました。2日間コースで、初日はISO27001要求事項と管理策の解説、2日目は内部監査の手順解説、内部監査のシミュレーションを実施しました。
当社の認証取得を目指していた頃はコンサルティングを受けて、当社現運用にご配慮を頂いたこともあってか自己流が多いと感じておりました。講師の方はセミナー冒頭で言っておられましたが、ISO要求事項は記述内容の解釈が人それぞれ違うとのことで、自己流でもISO要点だけ抑えていれば取得はできるとの事でした。私個人的にISMS管理責任者も担当しておりますし、一般的な運用方法が聞きたいとも思っていたので、セミナーで色々とお話が聞けて良かったです。
ちなもに、自己流の例として「パフォーマンス評価」が挙げられます。
一般的だと内部監査直前に、パフォーマンス評価週間など場を設け、ISO27001要求事項や管理策をまとめて監視評価するかと思います。当社は毎週会議の際に要求事項や管理策の項番いくつか(最低1つ)を選択してパフォーマンス評価を行います。なお、当社の内部監査は年1回です。一般的な方法でまとめてパフォーマンス評価しても良いのですが、そうすると各社員に対しての時間拘束が長くなってしまいます。当社は毎週会議を行っておりますので、その時にコツコツと実施しております。社長も含めて、不適合や観察事項、充実事項も評価します。特に不適合が発生した場合はその場で是正処置を進めて行きます。これによって悪い所を早期に発見・解決するシステムを実現しております。良い所が見つかったら社内皆さんへ情報共有します。
講師の方はISOマーク取得するだけの形でなく、ISO27001のマネジメントシステムを有効活用し、経営も現場もPDCAサイクル【改善(Action)】を率先して欲しいと強く訴えかけられておりました。その点において、実は上記の自己流が外部監査員から大変良い評価を頂いておりまして、経営層も現場層も全体的に意識高く【改善】を率先されているとの高い評価でした。セミナーで一般的な運用も聞きましたが、この点は自己流の方が安心しました。
他に講師の方は【リスク】を隈なく認識・特定すること、それと相反する【機会】も大事にして下さいとも訴えかけられておりました。ISO9001や14001にも共通して【リスク】と【機会】があります。ISO9001や14001は【リスク】も【機会】も重視するようなっておりますが、ISO27001は従来から【リスク】だけ重視されており、【機会】はあまり重視されておりません。最近は【機会】も重視する方向に進んでいるようです。
【リスク】はしっかり認識する事で【対策】が生まれるので、【対策】が漏れないよう【リスク】を隈なく認識・特定することが大前提になります。一方【機会】はISO用語集から「好ましい方向への乖離への対応」と難しく解釈されておりますが、上記のような【対策】を講じることによって前向きな考えを行うと理解しました。ISO9001で簡単に言えば「品質上がることで売上が比例して上がる」などです。前向きな考え方を共有することで経営層も現場層も全体的に意識付けもやり易いとも感じます。
ISO27001での【リスク】【対策】【機会】は簡単な例から私なりに考えてみました。
簡単にウィルス感染の例だと、
【リスク】 【対策】 【機会】 |
他にも持出ノートPCの例だと、
【リスク】 【対策】 【機会】 |
例は極々一部です。考えれば考えるほど出てくると思います。長くなるので割愛します。当社自身は元々【機会】を意識しておりますが、講師のお話を受け、改めて大事にしていきます。
当社のISO27001運用はまだまだ満足行くもので無いです。引き続き【改善】を率先して参ります。