あなたは、ISO 27001がコンプライアンスの実現を助け、新しい顧客を引きつけ、インシデントのコストを減らし、中核となるITプロセスを簡素化するという素晴らしいアイデアをお持ちですね。そのアイデアはよいのですが、いざ導入の段階になると、事はだんだん複雑になっていきます。
まず、ISO 27001が本当にあなたの会社に必要であるということを、(あなた自身が経営陣ではない場合)経営陣に説得する必要があります。経営陣は普通、他の仕事や締め切りに追われているので、わざわざ心配の種を増やすような他のプロジェクトに着手したがる可能性は高くありません。
経営陣が情報セキュリティに積極的だった場合には、第2の問題が発生します。つまり、どうやって資金を捻出するかです。 当初は「この事務作業にたいして金はかからない」と思うかもしれませんが、やがて、コンサルタントに金を払ったり、資料を購入したり、従業員を訓練したり、ソフトウェアや設備に投資したり、認証料を払ったりしなければならないことに気づきます。
仮に、奇跡的に資金を調達できたとしましょう。すると第3の問題が発生します。つまり、誰が実際に担当するかです。正直なコンサルタントなら、コンサルタントが文書のテンプレートを提供するだけでは足りず、状況に合わせて文書をカスタマイズするため、あなた自身の努力が必要なことを教えてくれるでしょう。 でも、それだけではありません。コンサルタントはさらに、文書(規格)の指示を実際に正確に実行しろと言うでしょう。 それは一回きりの仕事ではなく、半永久的な債務なのです。
ですから、あなたが同僚にISO 27001を導入・実施する仕事の分担を頼もうとすれば、同僚は突然話をそらすでしょう あなたは経営陣に情報セキュリティ管理者の採用を進言するかもしれませんが、そのような人材は不足しているので、安い給料では働きません。
したがって、あなたは、低額もしくはゼロの予算で、実際には情報セキュリティに興味のないチームやプロジェクトが始まり次第認証を取得したい経営陣と共に、ISO 27001のプロジェクト・マネージャに指名されることになるのです。
あなたはそれでもISO 27001に興味がありますか?
—
ISO 27001導入で起こりがちな問題を解決するには、Conformio compliance software が便利です。