以前に公開したISMSの解説動画に修正点が見つかったので、 修正し、公開しなおしました。 以前の動画は非公開にさせて頂きましたので、 新しくこちらをご覧ください。

YouTubeに【導入編】ISMSをやってみようを公開しました。 ISMSを導入する上で、入口となる内容になっていますので是非ご覧ください。

ISMSの解説動画を公開致しました。 是非ご覧ください。

ISOの解説動画を公開致しました。 是非ご覧ください。

SESという業態（エンジニアが客先で受託開発する）の場合、そもそも何を管理すべきかという問題があります。客先で開発作業を行うということは、客先の管理下で設計、プログラム開発、試験を行ってリリースにもっていくというわけなので、取り扱うデータは客先ルールに準拠しなければなりません。そうなってくると、そもそも情報に対するリスク管理を自社で行うことにはなりませんので、管理策としても付属書に載っている管理策を採用するというのが難しく、採用しないという項目が多くなります。この点について、以前の版の規格審査では、適用宣言書に「適用」とした場合は、何らかの記録を示さないと審査員から小言が（不適合とは言わないまでも）ある場合が多々あったように思います。それが最近は、「基本的にはやらない管理策なら適用を外した方がいいのでは」といったニュアンスの審査が多くなっていると感じます。

IT系の会社の場合、QMSとして法令を考えるよりもセキュリティ（ISMS）として法令を洗い出したほうが分かりやすいです。
なので、ISMS関連法令一覧を作られて、リスクを管理されていたのですが、一次審査での審査員のコメントが「ISMSでは関連する法令を管理されていましたが、QMSはありませんでした」というコメント。少々、笑えるコメントです。

昨年の12月にISMSクラウド審査が開始になりました。この審査は、ISO27001（ISMS）認証審査にアドオンとして実施する審査になります。
審査の基準となるのはISO/IE 27017規格になります。この規格はガイドラインですから本来であれば認証規格ではありませんが、規格文中の「～したほうが良い（should）」という部分を
「～しなければならない（shall）」と読み替えて審査することになります。