経営に役立つISO27001情報セキュリティ（ISMS）認証取得支援サービス

昨今、企業には情報セキュリティマネジメントを効果的・効率的に行うことがこれまで以上に求められています。その背景には、３つの理由があります。

まず１つ目に、企業が取り扱う機密情報の増加が挙げられます。テクノロジーの進化に伴い、企業はありとあらゆるデータを生成・取得し、ビジネスにつなげています。それとともに、流動性が高くなっていることが２つ目の理由です。多くのデータが企業の管理するプラットフォーム上ではなくクラウドサービス上に保管されるようになりました。新型コロナウイルスの感染拡大をきっかけにテレワークが進み、これが情報のデジタル化に拍車をかけ、情報の移動が簡単になりました。さらに、副業が普及し始め、「人の流動性」だけでなく、「情報の流動性」も高まっています。そして３つ目は、個人情報保護法改正や欧州連合（EU）の一般データ保護規則（GDPR）など、情報の取り扱いに関する法規制がますます厳しくなっていることです。

社内での情報の取り扱い方法を決め、情報セキュリティレベルを向上・改善する取り組みとしてISMS（Information Security Management System、情報セキュリティマネジメントシステム）があります。しかし、先述の環境変化もあり、単に情報セキュリティマネジメントのルールを導入するだけでは、太刀打ちできない世の中になりつつあります。

私たちニュートン・コンサルティングは、こうしたことを真剣に捉えて経営に役立つISMSを導入したいと本気で思っていらっしゃるお客様のニーズに応えたいと考えました。それが、この「経営に役立つISO27001情報セキュリティ（ISMS）認証取得支援サービス」です。お客様とコンサルタントが二人三脚でプロジェクトを進め、お客様にも手を動かしていただくことで、組織にノウハウが蓄積し、真に経営に役立つISMSを実現します。

「役に立つISMSを導入したい」と本気で考えて、そのために努力を厭わないお客様、具体的には次のような想いを持ったお客様におすすめします。

• 身の丈にあった役に立つISMSを導入したい
• コンサルタントに作業を丸投げせず、自分たちもきちんと考えて、スキルを身に付けたい
• しっかりと経営層を巻き込んで、経営と現場がつながるISMSにしたい
• 現場の忙しさや力量も考えた、現実的な情報セキュリティルールにしたい
• 形式にとらわれず、審査員にも胸を張って「これはリスクをとったのでこういうルールにした」と言い切れるISMSを実現したい
• ISMS認証取得はしているものの、形骸化しているため、改善したい

逆に、次のようなお考えのお客様にはおすすめできません。

• 合格さえすればいい
• ISMSを最短・最速・最安値で取れればいい
• 経営も現場も忙しいので、彼らを巻き込まずに事務局だけでほとんど済ませたい
• できればコンサルタントに丸投げしたい
• ツールだけ手に入ればいい

１．経営層と現場を巻き込みます
ISMSを経営と一体化させるために、初めに必ずトップインタビューをします。そこで経営層の意志を確認するとともに、その想いを実現するためにトップ自らは何をやるのか、についてコミットしていただきます。併せて、リスクの洗い出しやルール策定には早い段階から現場を巻き込み、現場自らが「ルールの策定者である」という意識を持てるように進めます。

２．現実的な情報セキュリティルールを提案します
情報セキュリティマネジメントが難しいのは、「理想論」と「現実論」の狭間でどこを落としどころにするか、関係者との意見調整が難航するからです。このハードルを乗り越えるために、昨今のリスクトレンドや対策のベストプラクティス、他社の動向などに精通したコンサルタントが、現場のIT関係者とコミュニケーションを取りながら現行ルールを確認し、現実的な改善策を提案します。

３．無駄な文書をなくします
ISMSの活動は、「この文書はあってもなくてもいいけど、審査員に何か言われそうだから一応、用意しておこう」、「正直、このリスクは取れるので新たな対策を導入したくはないのだけど、審査で指摘されたからとりあえず言われた通りにやっておこう」といった保守的な判断に傾きがちです。ニュートン・コンサルティングは「指摘事項＝改善の余地あり（MUST事項ではない）」、「規格要求事項の狙いさえ押さえていれば問題はない」、「ではどうやったら正しい解釈ができるのか」を基本とし、「あればよい」（NICE to HAVE）だけの文書作成は極力行いません。

４．ニュートン・コンサルティングが確立した内部監査手法を導入できます
現場や事務局に負担をかけすぎず、多くの人を巻き込んで本当の改善につながる指摘ができる内部監査手法として、「24時間で組織を変えるISO内部監査定着化サービス」を提供しています。ご要望によってこちらも同時進行できます。

５．組織に真のノウハウが積み上がります
お客様とコンサルタントが二人三脚でプロジェクトを進めます。作業などについてはコンサルタントが引き受けた方がお客様の負荷は減りますが、それではお客様にノウハウが蓄積されません。お客様にスキルが身に付くよう、「お客様が考えた方がいいこと」はお客様に手を動かしていただきます。また、ニュートン・コンサルティングは規格要求事項の「正しい解釈」を大切にしており、この点についてお伝えします。その結果、これまでご支援したお客様の多くは、ISMS運用２年目から自走して、継続的な改善をされています。

• ISMS運用マニュアル
• ISMSルール
• ISMSルールに必要な付随文書・ツール
• リスクマネジメント関連ツール　等

支援スタイルには、アドバイザリー型と並走型の2種類あります。どちらもコンサルタントがプロジェクトの線表をひき、進行管理をするとともにノウハウを提供し（具体的な情報セキュリティルール案の提示を含む）、お客様が作成した成果物のレビューを行います。プロジェクトの最初には必ず、コンサルタントがトップインタビューを行います。

・アドバイザリー型
プロジェクト期間中は、月1～1.5回のペースで定例打ち合わせを行うとともに、オフサイトでもメールや電話などで適宜支援します。お客様に負担がかかる支援スタイルですが、コストを必要最小限に抑えられ、かつお客様にスキルが身につきます。

・並走型
ニュートンが文書の草稿（1stドラフト）を作成するなど見本を示しながら、お客様に作業していただき進める支援スタイルです。ご要望に応じて、現場関係者を巻き込んだ打ち合わせをコンサルタントが仕切り、情報を引き出したりリスクアセスメント結果の調整を行ったりします。さらに内部監査については、最初の半日または１日はコンサルタントが内部監査の見本を示し、後半はお客様の内部監査担当者に実施いただく形式で進めます。