ISO9001のメニュー

ISO27001とは?ISO27001構築手順ISO27001構築のポイント徹底解説!!ISO27001要求事項資料集

トップページへ

ISO27001のポイント

ここでは、ISO27001(ISMS)を構築する際に気をつけたいポイントについてご紹介いたします。

リスクアセスメント

まず、失敗が多いのはリスクアセスメントです。

リスクアセスメントでもっとも多い失敗。

それは、

やりすぎ

です。

あまりに手法に懲りすぎて、細かなツールを使いすぎてしまうと、リスクの大きさを出す数式などにこだわりすぎて、本質的な

リスクの大きさと、それに準じた対策を選択する。

という部分を見失いがちです。

リスクアセスメントを実施するときは、可能な限り手法をシンプルにしておいたほうがむしろ、後ほど見直しなどがかけやすくなります。

詳細管理策の選択

詳細管理策は133項目あります。

その詳細管理策について、ついついすべてを選択しなければならないのではないか、という勘違いが起こってしまうことが多いのです。

あくまでも、詳細管理策は、

自社がリスクとして認識するものの対策として、

必要ならば選択する

というのがセオリーです。

必要ない対策は必ずしも選択する必要はないので、詳細管理策の中で実施が必要か否か判断したときに、

導入しなくてもリスクに影響のないもの

導入することでむしろリスクになるか、業務の妨げになるもの

などは選択をしなくてもよいこととなりますので、必要な対策だけを盛り込むようにしましょう。

詳細管理策については、こちらもご参照ください。

詳細管理策講座テキスト

 

文書や記録を作り過ぎない

ISO27001でもよく聞く失敗例です。

「ISO27001をはじめたら記録がいっぱい必要になった」

というお話をよく聞きますが、ISO27001を実現したことで記録がそんなに大量に増えることは本来正しい姿ではなく、まして、ISO27001のせいで業務がやりづらくなる、などということはまったくもって意味がありません。

記録の意図は、

「後に問題などが発生したときや、各種分析を行う際に、必要な情報が検索できる」

ことです。

と、いうことは、後に検索できて、内容が判別できれば記録は何でも構わないのです。

逆に言うならば、そのような役に立っていない記録であれば、一切不要です。

文書も同様です。

多すぎるマニュアルや手順書は、必ずしも業務の品質向上につながるとは言えず、むしろ多すぎることにより、改定の手間がかかるなどして、結局誰も読まないようでは何の意味もありません。

必要最低限の文書量にとどめることも大切です。

ちなみに、当社のコンサルティングにおいては、可能な限り全マニュアルを20~30ページ以内に収めることを目標としています。

それは、人が読もうと思ったら、そのくらいが集中して内容を記憶したり読むことの出来る限界だと経験上判断したためです。

また、徹底するためには文書にしても意味がないことなど実際には多く、たとえば張り紙にしたり、教育の機会を増やしたりしたほうがセキュリティは徹底できることが多いのが実情です。