どうも。FIXER cloud.config Division General Manager のいさおです。
今回は「ISOがやってきた」ということで、ISMSとITSMSを取得した話になるのですが、その前に前回紹介したAzure Expert MSPのクライテリアのカテゴリについて少しお話します。

クライテリアのカテゴリ

Azure Expert MSPのクライテリアv1.7現在の各要求事項はカテゴリ0～3の4カテゴリに分類されています。
カテゴリの特徴は下記のとおり。個人的なイメージですので参考程度にとどめておいてくださいね。

・カテゴリ0
　監査のその場でパスしないと即NGの項目。
　AzureのMSPとして当たり前にやっといてくださいという内容なので、少しテクニカルな内容が多いですが、要求自体はそれほど高度な内容ではないです。
　でも、要求事項を正確に理解できていないと即死するので、 最も気が抜けないカテゴリ。

・カテゴリ1
　監査終了後の指摘対応期間中に対応することは可能だけど1つも落とすことができません。
　内容としては、企業として自社のプロセスをちゃんと根付かせてるよね？って感じの項目が多いかなと思います。
　全体的にそうなんですが、プロセス→エビデンスがしっかり揃ってることがポイントになるかなと言えるカテゴリ。

・カテゴリ2
　 監査終了後の指摘対応期間中に対応することは可能で、いくつかは落としても大丈夫なんですが、準備に少々期間を要する内容だと思います。
　なにかツールを導入したり、開発が必要になるものもあると思います。
　内容自体は要求事項を正確に理解していればそれほど難しくはないと思いますが、ちゃんと計画して準備してないと時間切れになる可能性が高いカテゴリ。

・カテゴリ3
　監査終了後の指摘対応期間中に対応することは可能となってますが、対応期間中に対応を終わらすことが不可能と思ってていいカテゴリ。。
　ISMS取得、ITSMS取得、BCMS取得って感じで、さらっと書かれてるけど、持ってない企業からすると、「おいおい・・・・」ってなります。
　ISO以外の要件もあるんですけど、対応範囲がとても広いカテゴリです。

ISOですか・・・・。

弊社、ISOは取得しておりませんでしたので、一番時間がかかりそうなISOから手をつけるかと。
でも、 ISO取得後の実績も最低3か月ほどは必要になるので、 2019年6月に監査を受けるとなると、内部監査やらなんやらを考えると2019年1月くらいにはISOを取得してないといけない計算になります。
と思ったのが、2018年7月。取得まで半年・・・・・。
しかもISMSとITSMSをダブルで・・・・・。

でも、ISMSもITSMS両方ともほぼ目標の時期に取得できちゃいました。

• ISMS認証取得
• ITSMS認証取得

ISMSもITSMSもそうなんですが、勝因は「もともとがっつり運用していなかった」「組織が小さい」の2点ですね。

PDCAを回す系なので、下記の流れをいかに高速回転できるかが勝負です。
Plan→プロセスを作る
Do→プロセスをやってみる=浸透させる
Check→改善点をあげる
Action→実際に改善してみる

もともとがっつり運用していなかったので、プロセスを作るのが比較的やりやすかったと思います。
しっかりしたプロセス/マニュアル類がそろっていたら、ISOの要求事項に合わせて仕事の流れを変えるのが難しかったと思いますが、ナレッジとしてWiki化されていたり特定のフォルダに資料が格納されていたりはされていたので、それをスタンダードやプロセスで紐づけしてあげるだけでカタチができあがりました。

そして、

「組織が小さい」ことによって、一番時間がかかりそうな「Do」の浸透させるところがとても速い。みんなで話して「そうだ！そうしよう！」って決めたらそれで浸透できちゃってるんですから。
そして、やってみるのも早いので、すぐに「あれ？なんか変じゃない？」って気づく。だから、改善のサイクルもすごく速い。
マニュアルをリリースしてからISOの審査を受けるまでにマニュアル類を改訂した回数は何十回とある。

やってみてわかったことですが、大きな組織でも高速回転はできないことないなと思いました。
新しいプロセスに対応させる小さなチームを作って、スモールスタートさせてどんどん実績を作ってみればいいんじゃないかな。

でも、一番大事なのはものごとを抽象化する力・・・

MSPのクライテリアを実務と結びつける抽象化力が大事。
次回は「MSPは実務と別物じゃない！」の巻。