ベトナムもIT技術が発達し、ISMS(ISO27001)を取得されている企業も多いと思います。またこれからISMS(ISO27001)を取得しようと検討されている企業も多いと思います。ベトナムのISMS(ISO27001)の運用で以下のようなお悩みはありませんか?
・ISMS(ISO27001)を取得したいがものすごく大変だと聞いてなかなか取り掛かれない
・情報資産の洗い出しに時間がかかる
・内部監査に時間がかかって面倒だ
・従業員の情報セキュリティの意識向上が難しい
ISMS(ISO27001)を自社で運用していくのは非常に大変だと思います。今回は、累計8000社以上のコンサル実績があるスリーエーコンサルティングがベトナムでも実施できるISMS(ISO27001)の運用を少しでも簡単にする方法をご紹介いたします。
なぜISMS(ISO27001)の運用が難しいと感じるのか?
ISMS(ISO27001)の運用が難しいと感じる理由は、大きく2つあります。
- どれくらいやればいいのか限度がわからない
- 運用した経験者もなく、専門性も高いので周りに相談できる人がいない
この二つの理由からISMS(27001)で要求されていることをどこまでできていれば審査で問題がないのかと不安な気持ちが出てしまいついやりすぎてしまうことがあります。また、ISOという非常に専門性が高い分野で経験者も少ないためどこまでやるとやりすぎなのかという相談や判断ができないことが、ISMS(ISO27001)を難しくしていると言えます。
しかし、実際はそんなに難しいことはなく、自分たちでどこまでをやるのか運用の限度を決められるのがISO規格なのです。
早速、いくつか事例を交えながら運用を簡単にするポイントをご紹介いたします。
手間がかからない簡単なISMS(ISO27001)運用の方法
- 情報資産の洗い出しは大きな括りで特定する
- 教育は社内のルールを繰り返し教える
- 内部監査は目的を決めて実施することで効率アップ
情報資産の洗い出しはISMS(ISO27001)の運用で一番大変だと思われている運用の一つです。自社の情報資産をすべて細かく特定されている企業様は多いです。中には、社内で使用する書類を細かく特定され120個以上もの情報資産を特定されている企業様もいらっしゃいました。
まず、自社の情報資産を全部書き出そうと洗い出しをするのをやめましょう。
情報資産を全部書き出すことはかえってISMS(ISO27001)の運用の効率を悪くします。
例えば、従業員の情報があります。履歴書や誓約書や社内の申請書など様々な情報資産があると思います。こういったこまごましたものは一つ一つ特定するのではなく、「各種社内申請書」や「入社時書類」など大きな括りとして特定するだけで大丈夫です。
実際に前述で紹介した120個以上の情報資産を特定した企業様も方法を変えるだけで120個から40個程度まで情報資産を削減することが出来ました。
さらに大きな括りにまとめることの利点は、もう一つあります。リスク評価やセキュリティ対策が実施しやすくなることです。 情報資産の対象が多いと、本当に対策を打たなければいけないものを選択することが出来ません。結果、対象を限定することが出来ず、多くの情報資産を守るためのセキュリティ対策が求められてしまうのです。
「ISMS(ISO27001)を運用しているのだから教育を徹底するのは当たり前だ。」とお考えの担当者様も多いと思います。もちろん教育は大事です。しかし、一度に多くのことを教えすぎてはいないでしょうか?ISOの難しい言葉を教育しようとしてはいないでしょうか?
そのやり方は間違っております。
実際に情報が漏洩してしまう場合の多くは会社で決められたルールを守らないことによる誤送信やミスがほとんどです。
つまり、情報セキュリティで一番大事なことは会社のセキュリティルールを順守させることなのです。メールの誤送信を防止するためのルールや、書類を紛失しないためのルールなど当たり前だと思っていることを今一度繰り返し教育するようにしましょう。そうすることで自然とセキュリティ意識は高まってきます。
ISOの運用の中で一番大変とも思われているのが内部監査です。内部監査はチェックとして非常に必要なことです。しかし多くの企業様は間違った内部監査を実施しています。それは、監査の目的を明確にしないまま、全体を細かくチェックしてしまうことです。
内部監査は目的を設定するだけで驚くほど短時間で効率的に実施できます。見るべきポイントを決めればあとはそこを重点的に見て、残りはサンプリングで監査するだけで監査は完了です。
監査は毎年実施する必要があるので、その度に新しい監査項目を設定し、少しずつ仕組みの改善を行っていけば問題ありません。
いかがでしたでしょうか。
今回はISMS(27001)の運用を簡単にするための方法を3つ紹介させていただきました。ISMS(27001)を運用する時は無理の無い運用の程度を決めて、運用に取り組むようにしましょう。自社で運用できる程度を把握せずに運用をすると、やりすぎてしまうことがほとんどです。
・ISMS(ISO27001)を取得したいがものすごく大変だと思っている
・内部監査に時間がかかって面倒だと思っている
・ISOのコンサルをお願いしたいが、現地のコンサルだと不安がある
弊社では、こうしたISMS(ISO27001)の運用にお困りの企業様や、これから取得を検討されている企業様のISOコンサルサービスを提供しております。ベトナムでのISO運用やISO取得にお困りの企業様はぜひお気軽にご相談ください。
企業情報およびサービス内容
企業名 | 3A CONSULTING COMPANY LIMITED ご相談/お問い合わせのフォームはこちら |
---|---|
事業内容 | ISO認証取得・運用代行サポート |
代表者 | LUONG THI THANH HUYEN |
資本金 | VND 300,404,000 |
電話番号 | 0846-640-358(日本語・ベトナム語) |
お問い合わせ メールアドレス |
hozumi@3a-c.com(保住) |
住所 | 9F, VIT Tower, 519 Kim Ma str., Ng?c Khanh ward, Ba Dinh Dist., Ha Noi |
ウェブサイト | https://ninsho-partner.com(日本本社) https://www.isosoken.com/tuvan_vn/(日本本社) |