リスクマネジメントとPDCA Plan-Do-チェック
私は2008年にJIS Q 27001:2006(ISO/ICE27001) の審査員資格を取得しました。
PCマネジメントの代表としての仕事と両立できず、今は審査員としての仕事はやっていません。
中小企業や個人企業では認証取得することはないでしょうが、その手法のエッセンスを学んでおくと役に立ちます。
一つは JIS Q 27001の中核テーマ、リスクマネジメントシステムです。
考えられうるリスクをリストアップして定量的に(発生可能性、被害損害)評価し、対策難易度、緊急性、費用対効果の判定を行い最終的には許容判断を行う。一連のプロセスをリスクアセスメントとして明らかにする手順です。
もう一つは改善項目を「実施」する方法論を規定しているPlan-Do-Check-Actのマネジメントシステム(JIS Q9024:2003)です。
これは JIS9000(品質マネジメント)、JIS14000(環境マネジメント)などにも共通したマネジメントシステムです。
特にPlan-Do-Check-Actのマネジメントシステムを回すのには有効なツールを使います。
1人しか社員のいない会社でもとても有効、効果のあるマネジメントツールです。
個人情報保護への取り組み
JIS Q 27001情報セキュリティ の認証取得まで行かなくても、プライバシーマークを取得しょうという会社は多いと思います。
Pマークを取得するところまでではなくても、大手企業と取引する際に個人情報保護への取組みを求められることはさらに多くの機会があります。
そのマネジメントだけでも、 JIS Q 27001の資格を取った意義があります。
<<目次>>
