最新テクノロジー、UIUX、アート、マーケティングなどあらゆる技術・メソッドを用いてクライアント企業のデジタルトランスフォーメーションを支援しているスパイスファクトリー株式会社です。
こちらの記事では、当社が4カ月未満で効率的に取得したISMS認証の、取得までのポイントをお伝えします。
Contents
ISMSとは
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略称です。
企業や様々な組織が、業務で取り扱う情報のセキュリティを確保するための取り組みのことを意味します。
日本国内では、ISMS適合性評価制度という制度が運営されており、私たちがよく耳にする「ISMS認証」は、この制度のもとで様々な企業に対して付与されています。
そのため、ISMSを取得するためには、まずは組織の中でISMSの仕組みを構築し、その後、ISMS適合性評価制度が定めた所定の手続きや審査をクリアする必要があります。
ちなみに、ISMSとよく混合される言葉として、ISO/IEC 27001(JIS Q 27001)がありますが、これはISMSという仕組みを構築するための具体的な内容が書かれた規格になっています。
ISMSの一般的な取得期間及びフロー
ISMSの取組期間は、標準的には6ヶ月と言われています。
取得までのフローについては、以下です。
体制整備
まずは、ISMSに取り組むための体制を整備します。
ISMSのトップである「トップマネジメント」や、ISMSの実働リーダーである「ISMS責任者」などを決定します。
文書・社内ルールの作成
その後、ISMSの規格である「ISO/IEC 27001(JIS Q 27001)」に記載されている様々な文書や様式を整備したり、社内ルールを作っていきます。
ここで作成する文書や様式には、例えば社内にある情報資産をまとめた「情報資産一覧」や、普段業務を行う上で発生する可能性のある情報セキュリティリスクをまとめた「情報セキュリティリスク一覧」などが含まれます。
社内ルールの例としては、例えばパスワードに関するルールや、入退室に関するルール、機器の持ち出しやリモートワーク、情報セキュリティインシデントが発生したときの対応など、幅広いルールを整備していくことが一般的です。
このような取り組みは、平均的には3〜4ヶ月程度かかります。
社内ルールの周知・教育
その後、従業員に対して、作成した文書や様式、ルールを周知していく必要があります。これは、全社ミーティングやEラーニングを通して行われることが一般的です。
運用・改善
ルールの周知が終わると、運用フェーズに入ります。
一定程度の運用実績が溜まったあと、内部監査やマネジメントレビューといった活動を行います。内部監査では、社内で選出された内部監査員が、従業員にインタビューをしたり、実際にパソコンやスマートフォンを確認したりして、定めたルールが準拠されているかどうかをチェックします。その後のマネジメントレビューでは、トップに対して今までのISMSの運用状況を報告します。
運用中や、内部監査、マネジメントレビューなどで、何らかの問題(例えばルール違反など)が見つかった場合は、それを改善していくための取り組みを行う必要もあります。
このような一連の作業をすべて行うことで、ようやく審査にたどり着くことができます。
そして、審査において、これらの取り組みがもれなく適切に行われていることが認められると、ようやく認証取得となります。
今回の当社の取り組みのポイント
先述したように、ISMSの取り組みには、基本的には多くの手間と時間を必要とします。
当社は約4ヶ月で取得していますが、純粋に対応リソースを増員する等の対応は行っておりません。
効率的かつ高精度にISMS取得できるようフローを固め、基本的に社内担当者はデザイン業務を兼任するスタッフ1名のみで対応しました。
当社のISMS取得の取り組みのポイントは以下です。
クラウドソフトの活用
前提として、現在の日本の一般的なISMSの取得サポートサービスの提供プロセスはアナログである事も多いです。
創業当初よりテクノロジーの力で生産性向上を図ってきた当社にとって、従来の取得プロセスに対する違和感は拭いきれないものがありました。
そこで調査を行った結果、日本で唯一のクラウドソフトのISMS取得サービスを発見、導入しました。
この選択により、ペーパーレスでの業務負担軽減、社内連携コストの削減等多くのメリットがありました。
利用ツール
当社が利用したクラウドソフトはセキュアナビです。
当社導入当初は、日本国内にはまだないISMSのクラウドツールで、また実績もない状況の新しいサービスでした。
SecureNaviとは……
ISMSの構築をクラウド上で行うことができるクラウドサービスです。
今まで、ISMSの構築・運用と切り離す事ができなかった、WordやExcelを使った文書管理の手間を0にし、すべての情報を1つのクラウドサービス上で管理できるようになっています。
UI上に、ISMSの構築ガイドが用意されているので、ISMSの取り組みが初めての方でも、取り組みを簡単に進めることができるようになっています。
チャットツールやウェブ会議システムを用いた連携
2つ目のポイントとして、テキストベースのコミュニケーションはSlack、打合せはGoogle Meetsで行いました。
Slack
当社の担当者と、クラウドソフトのサポート担当者、その他社内のステークホルダーでひとつのチャンネルを作成し、テキストベースのやりとりはすべてこのチャンネル内で行いました。
Google Meets
週に一度定例打合せを事前設定し、こまめにGoogle Meetsで連携しました。
スケジューリングの手間削減や、直接会話することでの齟齬発生予防などに繋がりました。
社内での権限移譲
社内の担当者を分散せずに1名で対応したことも、短期間での取得に寄与しています。
担当者がある程度裁量権を持って進行することで、タスクや意思決定を停滞させることなく進行しました。
また、社内担当者の負担軽減の為、都度クラウドソフトのサポート担当者がフォローしながら進めるという体制を取りました。
合理的で新しい選択で最適解を見つける
上記が当社のISMS取得のポイントです。
当社の課題に対して何をすべきかから考案し取り組んだことが短期間でのISMS取得に繋がったと考えています。
今後もクライアント企業がより安心して当社に依頼できるようセキュリティ強化に取り組みます。
Tags
About The Author
ShintoTatsuo