ISOの文書は最小限で(その1)
今回はISMS(ISO/IEC27001:2022)の認証のお手伝いをさせていただいた事例を紹介します。
この会社はSESを主たる事業としており、認証の対象は10名。技術者は全員がお客様先常駐作業なので対象外ですが、一部に社内のシステム管理等の作業を実施する可能性があるため、それらは対象に含んでいます。
かつて、他のコンサルタントの支援を得て、2013年版で認証をしていました。ところが文書の種類が多く、ひとつひとつもページ数が多く、さらに様式の種類も多く、ようするに「手間がかかるだけでなんのメリットもない」ということで認証をやめてしまいました。ところが、主要取引先から「認証が必要」と言われ、2022年版で再チャレンジした次第です。
前回のような“分厚い文書を運用させられるのはかなわん”ということで弊社にお声がけをいただきました。取り組みに際して、参考に2013年版の文書類を見せていただきましたが、途中で嫌気がさして、見るのをやめました。で、新たに作成したのが今回紹介する画像です。文書の構成は以下の通り。
・ISMSマニュアル 表やフローを中心に16ページ
・適用宣言書 管理策の実施手順を含んで9ページ
・書式 10種
これで認証しています。文書は最低限に留めています。もちろん、すべての会社がこれだけで大丈夫とは言えませんが、少人数で運用する場合、この程度でないと自分たちでメンテナンスもできません。
いかがでしょうか?
なんでも文書にすればいいというものではありません。
