ISO27001新米担当者の奮闘記　〜ISMS構築プロジェクトの進め方〜第1回　ISO27001は認証範囲を決めることから始まる

　ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

　　　　　　　　　　　　　　　　　　　　株式会社JMCリスクマネジメント
　　　　　　　　　　　　　　　　　　　　　　　　太田智明、浦名祐輔
　　　　　　　　http://rm.jmc.ne.jp/service/iso27001/27column01.html

＜ISO27001新米担当者のつぶやき＞

■「君がメインでISO27001取得を進めてくれ」

　はじめまして、僕の名前は磯一郎と言います。とあるシステム開発会社の情報システム部に所属していて、社会人5年目になります。そろそろ仕事にも慣れてきて充実した日々を送っていたのですが、ある日、部長に呼ばれてこう言われました。

「うちの会社でISO27001を取ることにしたよ。他のメンバーは手一杯なので磯君、君がメインとなって進めてくれ。」

　いきなりの話で驚きました。ISO27001？何のことだかさっぱり分かりません。「こうやって丸投げするの、うちの会社の悪いとこだよな…」ただ上司の指示なので逆らうわけにもいかず、しぶしぶ承諾して席に戻りました。

■ISO27001取得には審査に合格する必要あり

　早速インターネットで「ISO27001」と調べてみると、いくつか情報が収集できました。

「別名ISMSと呼ばれているらしい。ISMSとは『情報セキュリティマネジメントシステム』が正式名称のようだ。審査に合格すると、ISO27001を取得していることを名乗れるらしい。どうやらセキュリティ対策を充実させないとダメみたいだ。日本では約2,500社が取っている。なるほど、審査に合格する必要があるのか。でも審査を受けるための条件が、いまだによく分からないな…」

　こんな調子で調べていると、背後から声をかけられました。最近中途で入社してきたAさんです。どうやらAさんは以前所属していた会社でISO27001取得に携わったことがあるらしく、僕がISO27001について調べているのを見かけて声をかけたそうです。

　Aさんに事の経緯を話すと、このようなことを言われました。

■認証範囲を決めることから構築は始まる

Aさん：
「最初に『認証範囲』を決めないとダメだよ。それによって必要なメンバー、スケジュール、コストが変わってくるからね。ISO27001は全社で取ることもできるし、業務ごとに取ることもできるんだ。実際、僕が前の会社で携わった時はシステム開発部門だけで取ったんだよ。」

「なるほど。そんな仕組みがあったのか。いい情報を手に入れた。でも全社で取るのか、特定の業務だけで取るのか、どっちがいいんだろう？部長に相談したら、『全社で取れ』と言ってたし。とりあえず指示には従っておくけど、本当は全社で取るのと、業務で部分的に取ることのメリットの違いが存在するんじゃないかな？」

　こんなことを考えているうちに、今日の就業時間は終わってしまいました。

＜ISO27001コンサルタントからのアドバイス＞

■これからの疑問、不明点を解説

　おやおや、早くも困っているようですね。
私はISO27001コンサルタントをしている山田太一といいます。

　今後、磯一郎さんがISO27001を認証取得するまでの様々な疑問点、不明点を解説していきます。早速ですが、今回磯さんが悩んでいる[1]「そもそもISO27001とは何か」、[2]「適用範囲を決めるポイント」、[3]「事業全体での認証か、部分認証か」の3点について…

【執筆：太田智明、浦名祐輔】

　※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
　　コラムの全文は、同社下記情報サイトから利用可能です。
　　 http://rm.jmc.ne.jp/service/iso27001/27column01.html