ISMSは認証取得で終わるものではありません。取得後も、決めたルールが実際に運用されていることを示す証跡が必要です。
証跡は運用の実態を示す
規程や手順書があっても、教育、アクセス権限レビュー、委託先確認、リスク見直しなどが実施されていなければ、運用されているとは言えません。証跡は、その活動が実際に行われたことを示します。
タスクと証跡を分けない
証跡管理だけを後から行うと、担当者の負担が大きくなります。タスクの期限、担当者、実施結果、添付ファイルを同じ流れで管理すると、証跡が自然に残ります。
内部監査に使える形で残す
証跡は、後から確認できることが重要です。どの規程、リスク、対策に関連する証跡なのかを紐づけておくと、内部監査やマネジメントレビューで説明しやすくなります。
SecureLensでは、証跡をタスクや台帳と紐づけて管理し、取得後のISMS運用が続く状態を作ります。