はじめに
はじめまして、SecureNavi株式会社 代表取締役CEOの井崎と申します。
このページは、ISMSを構築・運用するソフトウェア「SecureNavi」を活用して、ISMSに取り組まれている組織を審査される審査員に向けて、SecureNaviの特徴や、参考情報を提供することを目的としたドキュメントです。
以下の内容をご確認いただけますと、審査が円滑かつ、審査受審組織にとっても有意義な審査になるかと思います。可能でしたら、ご一読いただけますと幸いです。
SecureNaviの特徴
受審組織は、Word/Excelではなく、Webサービスを使って、ISMSを構築しています
SecureNaviは、ISMSを構築・運用するためのWebサービスです。SecureNaviを利用している組織は、ISMSの構築・運用に必要な「文書化した情報」を、Word/Excel ではなくWebサービス上で管理しています。Word/Excel で作成された規程や記録はございません(組織が独自で作成していることはあります)。
文書化した情報は必要最小限です
小規模な組織において、マネジメントシステムに必要な文書・記録の管理が大きな負担となっている現状があり、SecureNaviでは、その負担の元となる文書・記録の最小化に取り組んでいます。
それにより、ISMSでは当たり前のように存在する規程が存在しないことがあります。最たる例として、JIS Q 27001 本文の内容を規定した文書はございません。ただし当然ながら、JIS Q 27001 の要求事項として要求されている文書化した情報は、すべてSecureNaviの中で管理されています。
すでに多くの審査員・審査機関での審査実績があります
SecureNaviは、数多くの組織にご利用いただいております。すでに国内の7以上の審査機関(内、ISMS-AC認定を得ている審査機関は6つ)から、100以上の組織がISMS認証を取得しています。
よくいただく質問
審査員の皆様から、よく頂く質問を掲載しています。
JIS Q 27001本文で要求されている「文書化」は、本当にすべて文書化されていますか?
はい、文書化されています。JIS Q 27001本文で要求されている文書化と、SecureNaviの機能とのマッピングを、以下に示します。
要求事項 |
SecureNaviの機能 (下線は、SecureNaviのサイドメニューを表します) |
4.3 適用範囲の文書化 |
|
5.2 方針の文書化 |
|
6.1 リスクアセスメントプロセスの文書化 |
|
6.2 目的に関する文書化 |
|
7.2 力量の証拠の文書化 |
|
8.1 プロセスの文書化 |
|
8.2 リスクアセスメント結果の文書化 |
|
8.3 リスク対応結果の文書化 |
|
9.1 監視・測定の結果の文書化 |
|
9.2 監査プログラムおよび監査結果の文書化 |
|
9.3 マネジメントレビューの結果の証拠の文書化 |
|
10.1 不適合の対応の文書化 |
|
JIS Q 27001本文の要求事項が、SecureNavi上でどう実施されているのか、記述されている文書化した情報はありますか?
ございます。SecureNavi画面のサイドメニュー「設定・参考情報」から「参考情報-規格との対応」のページを御覧ください。
審査員もSecureNaviのアカウントを作成し、ログインできますか?
可能です。審査員の方から受審組織の担当者に、アカウント発行を依頼してください。
審査員によっては文書のやり取りも従来のファイル授受ではなく、SecureNaviにログインし内容を確認することで審査を完結いただいています。受審組織側からもファイル授受におけるセキュリティリスクを懸念して、SecureNavi上での審査完結を求められる場合がございますのでご留意ください。