現在、ISMS(情報セキュリティマネジメントシステム)運用
支援プロジェクトに参画していて、平日は毎日のように
渋谷にある某IT企業様に行っています。
私自身、1000名規模の外資系IT企業で5年間ISMS事務局長を
した経験があるのでISMS運用の大変さは理解しています。
ちなみに、当時はまだISO/IEC27001:2005(JIS Q 27001:2006)
でしたが、この規格書は随分使い倒しました。
※今は、ISO/IEC27001:2013(JIS Q 27001:2014)に改正されています。
企業様のISMS運用を外部から支援しているのですが、
社員としてその会社に常駐してISMSを運用するのと、
外部からISMSを運用支援するのとでは勝手が違いますね。
しかしながら、若干のやりにくさは感じるものの、メールや電話で
何とかなるという現実があります。
弊社がISMS運用支援を事業(プロジェクト)の1つとして
始めたのは、ISMS運用経験(ISMS事務局長以上)のある人が
「ある場所では需要がある」と知ってから。
私が約700名の組織のISMS事務局長をしていた当時は、
ISMSの需要は今後どうかな??って思っていました。
正直伸び悩むだろうな、と。。。
でも、実際のところ知り合いの経営者の方などに聞くと、
ISMS取らないとやばいよ、って言っていましたし、
入札条件等でビジネスが進まないといったケースがあります。
他の知人も言ってましたので、中小企業でISMSの需要は今後も
伸びていくと予想されます。
ちなみに、日本のISMS取得数って海外に比べて圧倒的に多い
んですよね。いかにも日本的ですが。
ISO/IEC27001:2005(JIS Q 27001:2006)とISO/IEC27001:2013
(JIS Q 27001:2014)の違いは大きく変わっていません。
要求事項は基本的に継承していますし、すでにISMSを認証取得
している企業に影響を及ぼさないよう配慮もされています。
リスクアセスメント、リスク対応の結果を見てリスクを選択し、
リスクを修正する手段として管理策を特定、適用宣言書に反映
させるという点も変わっていません。
ただ、より経営戦略を意識したマネジメントシステムになった、
という点はISMSを構築、運用していく上で理解しておく点と
言えます。
ISMSを経営戦略の1つとして位置付けることで、
社内的なメリットと社外的なメリットの両方を
得ることができます。
やり方によっては費用対効果(ROI)は抜群です。
それから、ISMSと一言で言っても、そこには様々な法律、
IT技術、BCP、教育などが関わってきますので、日々の勉強
は欠かせません。
見方によっては様々なスキルが身につくと言えます。
私自身、ITエンジニア(UNIX、ストレージ等を専門)をして
いましたが、ISMS業務をやるようになって、他のスキルを身に
つけることができました。
ただ、ISMSの場合、知識を身につけるだけなら誰でもできますが、
人との関わり合いが多いので、コミュニケーションなどが苦手な人は
向いていないかもしれませんし、逆に苦手を克服できるチャンス
でもあります。
私なんかは社員教育なんてやったこともなかったですし、
プレゼン資料の作成やプレゼン自体も経験少でしたから、
最初は大変でした(苦笑)
でも、今では貴重な経験値になっています。
今回はここまでということで、
ISMSは今後も需要が伸びていくと予想されること、
ISMSはスキルの幅が広がる、という点について触れました。
次回からはもう少しISMSを深く掘り下げていきたいと思います。
P.S
現在、内部監査の証跡チェック中。
組織が多く、これがまた地味に大変。。。
証跡を期限までに準備できない!という組織も出てきたし(苦笑)