過去 5年間に公表されたサプライチェーンで起きた情報セキュリティ事故52件の内、42件が委託先で発生（2018年のIPA調査報告）
中小企業を踏み台にするサプライチェーン攻撃！
　＊　テレワーキングでウィルスに感染
　＊　うっかりメールの添付ファイルを開きランサムウェアに感染
軽率さが招く信頼の失墜！
　＊　書類やメディアを誤って、又は気付かないまま紛失
　＊　データ、その他情報の隠蔽・改竄

企業やその他の組織が、ISO/IEC 27001をベースとしたマネジメントシステムの整備を検討する際、どう進めるべきでしょうか。
おそらく多くの方は、まずコンサルタントを探し、情報セキュリティマネジメントに関する文書の雛形（テンプレート）を高額で購入するというアプローチを取るのではないでしょうか。このアプローチは、半分は正解ですが、半分は大きな誤りでもあります。コンサルタントを見つけて相談するという点については、有効な選択肢の一つです。しかし、問題は「誰に相談するか」という点です。残念ながら、中には組織の本質的なニーズを無視し、ひな形の押し付けで終わるような詐欺師とも思えるコンサルタントも存在しています。

そもそも、その組織が目指していたのは何だったのでしょうか？

それは、自社の事業成果を達成するために必要な情報セキュリティマネジメントを整備することだったはずです。にもかかわらず、提供された雛形文書に形式的なことばかりで、組織が必要とする内容が含まれていないのであれば、それは本末転倒です。
確かにその文書は、形式に当てはめるだけの認証の取得には役立つかもしれません。しかし、ビジネス視点で考えた場合、既成の雛形はむしろ思考を制限し、組織の成果に向かう上での近道とはなりません。
少々不足していても、多少うまくいかない部分があっても構いません。まずは、自ら考え、自分たちなりに情報セキュリティマネジメントを考え、自己宣言してみることが大切です。
「安心」は自分たちで築くもの。「安全」はそれを周囲に宣言し、共有していくことで育まれます。
そして、さらに成熟させたいとお考えであれば、信頼できる専門家の意見を取り入れることも有効です。もちろんその際は、形式的な対応に終始する「詐欺まがい」のコンサルタントではなく、誠実に向き合い、信頼に足る認証へと導いてくれる“本物のコンサルタント”を選ぶことが何より重要です。
一般社団法人 日本シーエスアール登録機構（JCSR）は認証機関であり、コンサルティング業務は行っておりませんが、自己宣言を行う組織の「後押し」は積極的に行っております。
私たちが推奨するのは、高い信頼性を獲得できる「自己宣言」のアプローチです。
特に、国際的な枠組みであるISO/IEC 17050-1を活用したISO/IEC 27001に基づく自己宣言は、外部への責任ある表明として、極めて意義深いものになると確信しております。
私たちが提供する第三者認証サービスは、その先にあります。

下記の入力フォームに記入し、画面下の「送信」を押してください。
尚、ご登録いただいたお客様の情報については、お問い合わせの回答時に使用し、その後のログインID発行、本サービス利用の時に引き継ぎます。ログインIDを発行しない、又はサービス利用終了の際は、登録情報を削除いたします。改めてサービスの利用をご希望される場合は再度登録をお願いいたします。

以下の動画は、お問い合わせいただいたお客様にご提供しています。お問い合わせフォームを送信していただくと、ウィンドウに動画閲覧用のパスワードが表示されます。必ず記録し、お使い下さい。ISMSの整備開始までの間、情報セキュリティの基礎教育としてご活用いただければ幸いです。