ISMS(ISO27001)認証取得と、これから取得を目指す企業様へ

皆さんこんにちは。
ライズウィルの情報セキュリティ責任者の神山です。

今回は、当社が2014年3月に認証を取得した ISMS についてお話したいと思います。

ISMSとは・・・

まず皆さんはISMSをご存じでしょうか?

ISMS:Information Security Management System とは、情報セキュリティマネジメントシステムの略ですが、これを認証する制度として「ISMS適合性評価制度」というのが正式名称になります。

これは組織が保有する情報にかかわるさまざまなリスクを適切に管理し、組織の価値向上をもたらす国際規格である「ISO/IEC 27001」の要求事項を満たす情報セキュリティマネジメントシステムが構築されているかを評価する制度です。

当社は、IT企業として年々事業を拡大してきましたが、規模が大きくなるにつれ、お客様の個人情報をはじめ、電子データに限らず保有している情報資産が増加しており、その情報の管理を更に強固なものにするため、ISMSを取得するに至りました。

認証取得までの道のり
審査を受けるまでには、大きくわけると以下の5つのステップがあります。

1.プロジェクトチーム発足 まずはこのプロジェクトの参加希望を募ることからスタートです。
過去に取得経験がある従業員もいれば、未経験でも興味があるからやってみたい!など、うれしいことに多くの従業員が集まってくれました。
最終的には、私を含め3名と当社情報システム部でプロジェクトチームを発足しました。

2.情報資産の洗い出し 情報資産とは契約書類、労働者管理書類、顧客預かりデータなど種類はさまざまで、紙管理のものもあれば、電子データのものもあります。またPC、サーバは当然のことながら、電話やFAXも資産として洗い出しました。
あと忘れてはならないのは従業員です。
情報資産としてはイメージしづらいですが、当社の事業を継続していくには重要な要素の一つです。

3.リスクアセスメントとリスク対応 洗い出した資産のうち、個人情報を含むものや重要な資産をピックアップして、想定される脅威や脆弱性を評価します。
評価した結果、重大なセキュリティリスクが存在したものについては、対応策を策定し実行に移します。

4.内部監査と教育 従業員が正しく管理を遂行しているか、また定めたルールに従って行動できているかなど定期的に内部監査や教育会を実施します。

5.事業継続計画の策定 緊急事態の発生により事業の継続が困難になると想定されるケースがある場合は、リスクアセスメントを実施し、緊急時にどう対応するかを計画します。
この中で最も重要なステップは項番3のリスクアセスメントとリスク対応です。

リスクアセスメントを実施する際に、本来あるはずの脅威や脆弱性に気が付かなければ、リスク対応も実行されないため、その資産は今後リスクに晒され続けることになってしまいます。
最悪の場合、情報紛失や情報漏えいなどの事態を招いてしまう恐れもあります。
最近ニュースになった某大手企業の個人情報漏えい事件もこのステップで正しくリスク対応されていれば、防ぐことができたかもしれません。

今後の課題
現在、認証を取得してから数か月が経過しました。

以前から実施している対策に加え、新たに追加された管理策も含めた運用を行うことにより、幸いにも重大なセキュリティ事故は今のところ発生していません。
これは、従業員たちのセキュリティ意識がより一層向上してきている、ということも理由の一つだと思います。

ただ、情報セキュリティマネジメントシステムが構築・認証されたばかりで、まだ完全に定着しているとは言えません。
セキュリティ事故は気が緩んだその瞬間に起こるものです。

今後は、現在の運用を如何に定着させ、そして事故を未然に防ぐかが重要になりますので、教育内容の更なる改善や、日々のセキュリティチェックなどを今後も検討していきたいと思います。

認証取得を目指す企業へのメッセージ
当社は、認証取得以前からセキュリティ対策は実施しており、様々なルールは存在していたもののすべてが明文化されていたわけではありませんでした。
この度、認証取得のためとは言え、すべてを文書化できたことは大きな成果でしたが、
この「文書作成」という作業に膨大な時間を要すことになり、実はこれが一番大変だったような気がします。

そんな時、アドバイザーとしてコンサルタントに支援してもらうのも有効な手段だと思います。
認証取得までの管理資料の作成や、文書作成などすべての作業を「代行」してもらえるサービスもあるようです。
今後の運用や管理資料の見直しなど、自社にフィットするシステムを構築するには、「支援」程度にとどめ、なるべく自分たちで構築することをお勧めします。
以上、今回はISMSの認証取得についてお話させていただきました。

これから取得を目指す企業の方、また、既に取得している企業の方々においてもこの記事が少しでもお役に立てれば幸いです。
DXO株式会社

DXO株式会社

〒103-0014
東京都中央区日本橋蛎殻町2-13-6
EDGE水天宮8F
E-Mail : contact-info@dxo.co.jp
URL : https://dxo.co.jp