先日、弊社システム開発事業部において ISMS (JIS Q 27001:2014 (ISO/IEC 27001:2013)) を認証取得しました。 ISMS とは、情報セキュリティマネジメントシステム(Information Security Management System)の略称で、企業において情報セキュリティを適切に管理するためのマネジメントシステムのことです。
今回は、 ISMS の認証取得にあたり、どのような準備や対応をしたか……についてお話したいと思います。
この記事の内容
ISMS を取得するメリットは?
今回取得した ISMS には、いくつかのメリットがあります。
まず、ISMS は 情報セキュリティマネジメントシステム に関する国際規格です。
ISMS を取得するためには、基準を満たすために組織のセキュリティを強化したり、体制や制度を見直す必要があり、その結果、セキュリティを向上させることに繋がります。
また、認証を取得するには外部の審査機関から客観的な評価を受け、それが認められた証明になりますので、自社に対する信頼性の強化になるといったメリットがあります。
デメリットもある
ISMS を取得するには、社内の体制を改めて整備する必要があります。さまざまな準備が必要であるため、人的なコストもかかりますし、従業員の教育などにも時間をかける必要もあります。また、セキュリティに関して設備投資が必要な場合には、それらの導入コストもかかることになります。
その他、認証取得するための審査費用やコンサルタントに依頼する場合はコンサルティング費用もかかります。
弊社のような小規模の会社で認証範囲を限定した場合であっても、取得にかかるトータルコストは 100万円前後〜といった感じになると思います。
ISMS 取得の流れ
ISMS 認証取得までには、おおよそ半年ほどの準備期間がかかっています。
ISMS責任者と、サブ要員の私の二人を中心に、それぞれが通常業務をしながら準備を行なったので、ずっと ISMS の準備に追われ続けるわけではありませんが、それなりの準備期間が必要でした。
適用宣言書と情報セキュリティポリシーの策定
まず、大元の基準となる2つ「適用宣言書」と「情報セキュリティポリシー」を作りました。
適用宣言書は、ISMS認証基準において 「組織のリスクアセスメント及びリスク対応プロセスの結果及び結論に基づき、組織のISMSに適切で当てはまる管理目的及び管理策を記述した文書」 と定義されています。
ちょっとややこしいですが、ISMS認証取得する上で定義された「ISMS認証基準」を元に、弊社ではそれらの対策をどのようにするか……という内容が「適用宣言書」で、その適用宣言書を元にした弊社のセキュリティに関する基準となるのが「情報セキュリティポリシー」です。
マニュアルや資産管理台帳の作成
次に、情報セキュリティポリシーを元に ISMS 運用の基本となる「ISMSマニュアル」を作成します。この ISMSマニュアルは、ISMS を継続運用していく上での業務マニュアル的な内容となっています。
また、情報資産の取り扱いをそれぞれの資産の種類毎に管理する方法を「情報資産管理台帳」として作成しました。
その他、必要に応じて実際に業務をする上でのマニュアルなども作成しています。
教育
従業員への教育は、組織の運営において重要な課題です。システムやサービスでどんなにセキュア環境を構築しても、使用者のセキュリティ意識が低ければ大きな事故になるかもしれません。継続的にセキュリティに関する講義へ参加してもらったり、ISMSマニュアルに則った業務の徹底などを教育していく必要があります。
直近の教育では、システム開発事業部のメンバーだけでなく、認証範囲外のメンバーにも、情報セキュリティの基本的な研修ビデオを見てもらったり、理解度テストを受けてもらったりしています。
情報資産台帳などの作成
情報資産管理台帳の基準を元に、バラバラに管理していたソフトウェアやハードウェア、外部のクラウドサービスのアカウントなどなど……社内で利用している色々な資産をまとめて一元管理するようにまとめました。
私の担当分で一番時間がかかったのはこの台帳を作成することだったかもしれません。一つ一つ個別にリストアップしていくと、思った以上にいろいろなシステムやハードウェアを使っていることに今更ながらに気がつくことになりました。
審査
一次審査が1月に、二次審査が2月と、2度に渡って審査が行われました。
一次審査では、適用範囲の業務などの確認が行われた後、マニュアル、規定文書、文書台帳や適用宣言書の確認などドキュメント類の内容の確認を中心に行われました。
二次審査では、経営者への組織の状況、驚異、課題などについてのヒアリングなどが行われたり、マネジメントレビューや内部監査の結果や評価についての確認の他、マニュアルやドキュメント類だけでなく、物理的なセキュリティの確認のため建物の入退室管理のシステムの方式や稼働状態の確認などがあったり、システム開発事業部のメンバーに、日々のデータはどこに保存されているかや、マニュアルに策定してあるパスワードの基準を満たしているかを直接確認したり……と多岐にわたる内容でした。
取得だけでは終わらない
今回、認証取得は無事に完了しましたが、 ISMS は取得してからも毎年審査があります。組織を取り巻く課題の見直しやリスクアセスメントの実施や見直し、事業継続試験など継続的に行なっていく必要があり、審査も定期的に行われます。
まとめ
それなりの期間と労力がかかりましたが、計画していたとおりに認証取得することができました。
ISMS を取得するために準備を進めただけでも社内のセキュリティを強化することになるので、情報システムを管理している立場の私としてはメリットが大きいですし、会社全体のセキュリティに対する意識も高まるのではないでしょうか。
また、対外的にも自社のセキュリティの高さをアピールすることができるので、システム開発事業部で開発している SASAGASE や ラクラクあつまレビュー の販売にもつながるのではないか……と思っています。
