10名程度の会社で社員が客先で働いている場合、ISMSを取得するには?
10名程度の小さなソフト会社です。メーカーとの関係上ISOを取得したいと考えています 。
社員は全員客先におり、事務所には社長も週1回、社員は年数回しか集まりません。このような体制でISMSが取得可能でしょうか。また、ドキュメント作成を社長1人で行うのは困難ですが、端折るわけにはいかないですよね 。
結論:取得は可能です。実態に合わせた「役割分担」と「管理策」を構築しましょう。
ISMS取得の可否から言いますと、ご質問のような組織でもISMSを取得することは可能です。
1. 事務所に人がいない場合の「体制づくり」と「内部監査」
まず「体制」としての問題ですが、事務局はISMSの事務作業の役割を担うので、10名程度の人員であれば、全社員で協力して行う方法でも良いかと思います。
内部監査員も同様で、客観性と公平性を保てる他者が監査できれば良いでしょう。
ネットワーク管理者等に関しては、実際に行っている体制などを考慮して役割分担することになるかと思います。
年に数回集まれるのであれば、その時にISMSの事務処理および内部監査などを行い、記録を残すことができれば良いかと思います。
2. ドキュメント作成と「管理策の除外」に関する注意点
次に、「規程づくり」等においては、教育などの人的管理策に重点をおいた文書ができるイメージになると思います。しかし、ご質問にある「ドキュメントを端折る」ことはできません。
ISMSでは、セキュリティ対策は付属書A(管理策)に関連する事項となります。
ただ、必ずしも除外できないという訳ではなく、除外する場合は「その理由」が必要となります。
審査員は、セキュリティ対策の重要な部分であるため、必ず除外した正当な理由を確認します。
管理策に取り組む場合は、基本「除外しない」といった姿勢で作業することをお勧めします。
JIS Q 27001 6.1.3 情報セキュリティリスク対応
- – 必要な管理策及びそれらの管理策を含めた理由
- – それらの管理策を実施しているか否か
- – 附属書 A に規定する管理策を除外した理由
3. 効率的にISMSを構築するための解決策
全てのドキュメントをゼロから作成するのは、非常に大きな負担となります。審査では「除外の妥当性」も厳しくチェックされるため、標準的な雛形を活用するのもおすすめです 。
当店「ISMSサンプル文書集」は、規格の要求事項を網羅しており、初めてISMSを構築する企業様に最適です。
今回のような「少人数・客先常駐」のケースでも、ベースとなる規程類が揃っていれば、自社の実態に合わせた修正だけでスムーズな構築にお役立ちいただけます。
参考記事
ちなみに、参考となりそうな質問と回答として、「サポートブログ」の中で以下のようなものがあります。
具体的には、組織の事情等により変わってきますが、基本的には、こちらと同じように考えていただければ良いかと思います。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
