ISO27001(ISMS)の運用が出来ている!と勘違いしていることが・・・
「当社はISMSの運用が出来ているので更新はあまり心配していません」と言う方が、多くいらっしゃいます。
お客様に以下のような問いかけをすると、結果、ISMSの運用が出来ていないことが判明します。
当社-リスクアセスメントの見直しはできているのですね?
お客様-それ何ですか?
当社-従業員教育と内部監査はされていますか?
お客様-たぶん・・していません。今年はやろうと思っています。
当社-どのように従業員教育と内部監査をされるのですか?
お客様-・・・・どうしたらいいですか?
当社-お客様が出来ているとおっしゃるISMSの運用は何ですか?
お客様-入退出とキャビネット施錠管理です。
当社-他は何かされていますか?
お客様-ウイルス対策とかはしていますが、他は特に・・無いです。何か問題でも?(少々怒り気味)
このような場合、お客様は根本的にISMSの運用をご理解できていません。
運用とはお客様が規定したものです。