ISMS, プライバシーマークおよびISM Web store商品に関するさまざまなご質問と回答をご紹介

10名程度の会社で社員が客先で働いている場合、ISMSを取得するには?

12.14.2017 | ISMS全般.  855 views

10名程度の小さなソフト会社です。
メーカーとの関係上ISOを取得したいと考えています。

社員は、全員が客先でのソフト開発で出払っており、弊社社長も客先におります。
事務所へは、社長は週1回で、社員は全員が集まるのは年に数回です。

情報管理責任者は社長が兼務しても、事務局や内部審査員、ネットワーク管理者等々の担当させる人が、事務所にはいません。
このような場合、どのような体制でISO27000が取得可能でしょうか。
また、すべてのドキュメントを作るのも社長1人でとても困難な様子ですが、ドキュメントを端折るわけにはいかないですよね。

ISMS取得の可否から言いますと、ご質問のような組織でもISMSを取得することは可能です。

まず「体制」としての問題ですが、事務局はISMSの事務作業の役割を担うので、10名程度の人員であれば、全社員で協力して行う方法でも良いかと思います。
内部監査員も同様で、客観性と公平性を保てる他者が監査できれば良いでしょう。
ネットワーク管理者等に関しては、実際に行っている体制などを考慮して役割分担することになるかと思います。
年に数回集まれるのであれば、その時にISMSの事務処理および内部監査などを行い、記録を残すことができれば良いかと思います。

次に、「規程づくり」等においては、教育などの人的管理策に重点をおいた文書ができるイメージになると思います。しかし、ご質問にある「ドキュメントを端折る」ことはできません。
ISMSでは、セキュリティ対策は付属書A(管理策)に関連する事項となります。
ただ、必ずしも除外できないという訳ではなく、除外する場合は「その理由」が必要となります。
審査員は、セキュリティ対策の重要な部分であるため、必ず除外した正当な理由を確認します。
管理策に取り組む場合は、基本「除外しない」といった姿勢で作業することをお勧めします。

--- JIS Q 27001 より ---
6.1.3 情報セキュリティリスク対応
d) 次を含む適用宣言書を作成する。
- 必要な管理策[6.1.3 の b) 及び c) 参照]及びそれらの管理策を含めた理由
- それらの管理策を実施しているか否か
- 附属書 A に規定する管理策を除外した理由
----------------

ちなみに、参考となりそうな質問と回答として、「サポートブログ」の中で以下のようなものがあります。
具体的には、組織の事情等により変わってきますが、基本的には、こちらと同じように考えていただければ良いかと思います。

・派遣先職場のルールに則った個人情報管理でよいのか?
 https://www.ismwebstore.com/support/archives/1083
・IT技術者の派遣業の場合、技術的・物理的安全措置について
 https://www.ismwebstore.com/support/archives/188