【愛知県 ISO27001取得】情報のセキュリティ面でのアピールや、競合他社に対しての差別化にもなります!
株式会社西山商店 取締役 情報システム部 西山華奈恵様
- ――― 今回のコンサルティングはいかがでしたでしょうか。
-
ISO27001の認証取得まで導いていただいてありがとうございました。
最初は、規格を読んでも何が必要か分からず、どんな順番で進めたら良いのか分かりませんでしたが、
コンサルさんの説明が分かりやすく、規格が求めていること、取り組みの順番もよく理解でき、スムーズに進められたのでよかったです。
ただ、全くゼロから始めたこともあり、特に情報資産の洗い出しには苦労しました。
審査の際には、コンサルさんにオブザーバとして立ち会っていただきました。
その際には、私たちが審査員から受けた質問の意図がわからなかった時に都度説明をしてもらうなどのフォローがとても助かりました。
- ――― 当初の課題については、解決できましたでしょうか。 或いは今後、解決できる見込みはたちましたでしょうか。
-
弊社は、機密を扱っているお客様とのお付き合いもあり、情報セキュリティのISO規格を取得することで、安心して取引いただけることを目的として、ISO27001の認証取得を決めました。
それにより、既存のお客様に対しては、情報のセキュリティ面でのアピールもできますし、競合他社に対しての差別化にもなります。
更に、新規のお客様に対しては、弊社の情報のセキュリティの取り組みについて質問された際に、説明しやすくなると思います。
- ――― 社内工数、時間はどの程度費やしましたでしょうか?
-
ISO27001の件での社内ミーティングはオンラインにて1時間/月でした。
現地での情報資産の洗い出しについては各自担当を決めて行っていたのですが、部署によっては結構時間を費やしました。
総務、営業、社長など、文書を多種扱う部署は情報資産の洗い出しに数日かかったかと思います。
業務フローの図を作る作業については、ゼロから作り上げたこともあり、1つの部署毎に業務内容の聞き取りに2時間くらいかかりました。(作図時間は別途)
- ――― 今後、弊社の継続支援を要望されますでしょうか。 その場合、どのような支援を望まれますか。
- コンサルさんに支援いただいた内容に基づき、現在は社内で実施しています。 今後は、特にISO27001の文書を、より弊社に特化したものにブラッシュアップしていく必要があると考えています。 まだ経験が浅いので、次回の内部監査の時までに、今回の初回審査で審査機関から受けた改善事項についての対応について ご相談するかもしれません。次回の内部監査ではコンサルさんにチェックをお願いしたい点はあります。
- ――― その他、ご意見ご感想があれば何でもお願いします。
- ありがとうございます。
- ――― 今回のコンサルティングは、10点満点で何点いただけますでしょうか。
- 9点
“説明がわかりやすかった”とのご評価をいただき、ありがとうございます。
また、情報資産の洗い出しが難しかったとのこと。
そうですね、この辺りは、皆さんで机の中や棚、PCの中などを見ながら一つ一つ拾い上げていき、表に記載していく作業になるので、大変だったことと思います。大変お疲れ様でした。
初回審査では、担当コンサルタントがオブザーバーとして立ち上げをさせていただきました。
皆様にとっては最初の審査なので、審査員の質問の意味がよく理解できずにうまく答えられない、
あるいは求められている書類や証拠が提出できないということもままあることで、
今回、休憩時間などを使ってコンサルタントから助言やアドバイスをさせて頂いたことの効果が出たようで、よかったと思います。
また、今後は自社で運用いただけるとのこと、承知しました。
コンサルが入ったとは言え、情報資産の洗い出しから始めて、皆様自身が作り上げたシステムで、皆様自身で主体的に審査に対応されての認証ですので、自信を持って運用いただきたいと思います。
もし、何らかのご不安やご心配事などありましたら、お気軽にご相談頂けましたら幸いです。
ISO27001は、取得がゴールでもありますが、新たなスタートでもあります。
ISO27001認証取得を機に、情報管理の質が上がり、お客様への信頼度につながり、益々の事業ご発展となることを心より祈念しております。
ありがとうございました。