弊社のクライアントにはシステムの受託開発関係の会社が多く、特にSESという業態(エンジニアが客先で受託開発する)の場合、そもそも何を管理すべきかという問題があります。

客先で開発作業を行うということは、客先の管理下で設計、プログラム開発、試験を行ってリリースにもっていくというわけなので、取り扱うデータは客先ルールに準拠しなければなりません。そうなってくると、そもそも情報に対するリスク管理を自社で行うことにはなりませんので、管理策として付属書に載っている管理策を採用するというのが難しく、採用しないという項目が多くなります。この点について、以前の版の規格審査では、適用宣言書に「適用」とした場合は、何らかの記録を示さないと審査員から小言が(不適合とは言わないまでも)ある場合が多々あったように思います。それが最近は、「基本的にはやらない管理策なら適用を外した方がいいのでは」といったニュアンスの審査が多くなっていると感じます。

逆に、リスクアセスメントとしの対象として「客先の入退カード」を挙げてアセスメントしろとしつこく指摘する審査員がいました。もちろん、入退カードは紛失するというリスクは発生する事態が大きくなりかねませんが、アセメントをして機密性、可用性、可用性の脅威を分析するほどはなく、情報ではない業務上のリスクとして認識し「従業員教育の徹底」で対策してしまった方が簡単で効果的だと思います。