ISO27001新規格対応の軌跡

はじめに

スカイアーチネットワークス（以下、当社）は、ISO運営委員会という組織を設け、日々ISO活動に取り組んでいます。以下に、当社の主な活動や取り組みについてご紹介します。

新規格対応の流れ

ISO規格はアップデートされる

ISO/IEC 27001は情報セキュリティマネジメントシステムの国際規格で、最新版は2022年10月に発行されました。これに伴い、旧規格で運用している当社は決まった期限以内に最新版へのアップデートが必要になります。

期限以内にISO審査に合格しないと認証がはく奪されてしまいますのでISO運営委員会としてはとてもインパクトのあるイベントになります。

まずは情報収集

新規格になったのは良いですがそれじゃあ何をすればよいの？ということになります。

最初のアクションとして、情報収集に注力しました。

まずはISO27001新規格の要求事項を購入して、読み込みを行いました。その後、ISO27001新規格対応の無料セミナーが開催されているのでそれに参加しました。新規格の変更点はもちろんですが加えて大まかな対応方法まで解説いただいたのでとても参考になりました。

計画をたてて内部調整

情報がある程度そろってきたら計画書を作成しました。計画書自体は毎年作成しているのでその中に新たな課題としてISO27001新規格対応を盛り込む形になります。

下記の点について検討・内部調整して計画書として文書化しました。

• 予算
• 体制
• スケジュール
• タスク

上記の内容をチーム内で検討して、担当／役割を確認し合意をとりました。（当社のISO運営委員会は兼務しているメンバーが多いので本業との調整が大変でした）

その後、マネジメントレビューにてトップマネジメントへ説明を行い承認をとりました。

計画が承認されたらあとは実行するのみ

記載するのを忘れていましたが、当社は2024年7月後半にISO27001新規格の審査を受ける予定です。ターゲットは決まっていますので、計画で定めたタスクをどんどん消化していきました。

必ず実施しないといけない、かつ、重いタスクは下記と考えていたので重点的にリソースを割いて行いました。

• 社内文書の最適化
• 新規格での内部監査実施
• 新しい要求事項に対する仕組み、運用記録の準備

最後に

このブログを執筆している段階では、審査まで1ヶ月を切っている状況です。

ISO27001新規格での審査がスムーズに進められるよう最終調整をしていきたいと思います。（併せてISO20000の審査も同時に行いますがそれはまたべつの機会に）

ISOを担当されている方に少しでもご参考になれば幸いです。