ISMS ISO27001 Pマーク

アクトゼロがISMS認証取得するまで ~事例を交えて分かりやすく解説!~

20120525_08

昨日、弊社がISMS(情報セキュリティマネジメントシステム)の認証を取得したことをお伝えさせて頂きました。昨年夏から準備を開始しておよそ1年間かけてようやく認証取得に至り、責任者としては努力を実らせることができて一安心したのが正直な心境です。

私自身、ISMSとは名前くらいしか知らないところから社内の旗振り役として取り組みを開始しました。今日は、ソーシャルメディアや動画等の話題からかなり逸れてしまいますが、弊社が取得したISMSとは一体何なのか?そして、どんな手順で取得したのかについて、私なりになるべく分かりやすくご説明してみようと思います。

まず、ISMSとは?

企業にはさまざまな「資産」と呼ばれるものが存在しています。例えば、不動産・販売する商品・製造する機械・机・椅子・ボールペン…等は目に見えるものなので分かりやすいですが、一方で、社員/人事の情報・顧客情報・お客様から預かった未公表の情報・webサーバのログインID/パスワード…等、目に見えない資産というものも多数存在します。これらは「情報資産」と呼ばれ、PCやサーバなどのようなハードウェアや、紙・人の記憶など様々な形態で蓄積・存在しています。

ISMSは、こうした企業・組織が有する情報資産を明らかにし、適切に取り扱い・管理し、情報漏洩・改ざん等のリスクから保護するための仕組みのことです。構築したISMSは、最終的に第三者機関によって認証基準に適合しているかどうか審査されます。その結果、認証取得に至ると、企業の信用度の向上既存顧客の満足度向上などといった、企業価値の向上が期待できます。

当初、弊社ではPマーク取得を考えていたのですが、管理・運用の手間もかかり取得のハードルは高くても、個人情報だけでなく情報資産全てが保護範囲にあたるISMSの方が、弊社にはより適切だと考え、ISMSの認証取得に挑戦することにしました。

では一体、どんなフローでISMS認証取得に至るのか。大雑把ですが簡潔に説明いたしますと・・・ 

つまり、基準に合致し、自社の実務にも即した自社のルールを設けて、自分たちがそのルールを守っていくことがISMSであるといえます。すでに準備されているルールさえ守っていれば認証が取れるというものではありません。ISMSは様々な業種が対象なので、一律お仕着せのルールでは、守っていくこと自体が不可能となってしまいかねません。

アクトゼロのISMSはどう構築されたのか

実際、弊社がどのような手順でISMS構築・取得に至ったのか、少し具体的にご紹介いたします。

 ◆情報資産の洗い出しとリスク分析・対応を考える
まず、自社にどんな情報資産があるかを洗い出します。見積書・請求書・企画提案書・受領した名刺・指示書・ワイヤーフレーム・支給画像・DVD-R、ビデオテープ…。自社にどんな情報資産があるのかは、自社の業務に精通していなければ判断できません。コンサルタントに丸投げは通常はできないといえるでしょう。

業務分野ごとに整理したら、リスク分析とその対応について考えます。情報資産それぞれに起こりうるリスク(盗難・操作ミス・誤送信・災害…等)を挙げ、どんな対策・管理を行えば、そのリスクを下げることができるかを整理します。この、対策・管理の内容は、ISMSが規格上要求するものに準じることが重要です。この”要求”は133項目もの管理策として挙げられています。

◆管理体制の決定・文書化
管理策を実行するためのルールや、ルールを運用していく仕組みを整えます。業務効率と規格が要求する管理水準とのバランスを取りながらルールを決めていくことがきわめて重要です。

ルールをひとつ試しに挙げてみますと、当社の従業員が制作物を制作した場合、制作したデータは業務終了後、必ず社内ファイルサーバ等に保存してローカル上にデータを残さないルールにしました。これは、PCが故障した時のリスク(完全性)に対応するだけでなく、社員以外の第三者がPCを利用することによって制作データにアクセスできないようにする(機密性)ことが目的です。PC・サーバ・事務所には、他にも様々な管理がされており、複合的な管理によって、このリスクが低減されています。

 当社では、「セキュリティ対策基準」と呼ばれる文書を、社員向けのルールブックとして定め、業務にあたる上での禁止事項・注意事項・申請手順などを定めました。その他にも、必要な文書や申請書フォーマットなど、数えてみると、最終的に62種類にも渡る書類を作成しました。

◆教育・運用・監査
ルールと管理体制が出来上がると、実務に携わる上でルールが課される従業者全員に説明します(教育)。その後、ルールに従ったフローで業務を遂行していきます(運用)。

はじめて社で明確にルール化した項目もあり、社員が対応できるか少し不安でしたが、研修がセキュリティ意識の向上につながり、協力的・積極的に対応しています。今後も定期的にセキュリティに関する社内研修を行っていく予定です。

 運用2ヶ月目で、ISMSが有効的に運用されているか内部監査を行いました。監査の結果は、会社代表に報告し、今後の対応計画を検討します(マネジメントレビュー)。自分たちのルールを確認し、見直しては運用していくという、まさにPDCAのサイクルを回していくのがISMSなのです。

ちなみに、ISMSの構築には、企業の経営陣のコミットは不可欠です。会社の仕組み自体に関わることですし、運用に携わる人的リソースだけでなく、設備の投資・取得にかかる費用(コンサルタント費・審査費等)も不可欠だからです。

 ◆審査
最終的に第三者機関による審査が行われます。当社では、英国でISOの基準を策定し、日本国内でも圧倒的に多くの審査実績があるBSIグループジャパン様に依頼いたしました。

審査は1.5日に渡る審査が2回、合計3日間相当の審査が行われます。審査員は情報セキュリティ委員会へのヒアリングや文書類の確認だけでなく、実際に社員にも業務フローやファイル利用手順などをヒアリングして審査します。

最終的に審査員からは非常に良く運営されていると高い評価を頂きました。観察事項でgood pointの指摘を2点も頂き、無事、認証取得の推薦を頂くことができました。

 ISMS認証取得でどう変わったか

最大の目的である、「顧客からの信頼向上」につきましては、取得直後のため、今後感じられればと思っています。今後、新規のお客様で取引条件として「ISMS取得企業」である場合に対応することができるようになったのは確かです。また、対外的に、顧客の大切な情報をお預かりして安全に取り扱う体制が整ったことを胸を張って言える証となりました。

社内に視点を向けてみると、ISMSで自社にマッチしたルールを制定し、手順に従うフローが明確になったので社員から安心して業務にあたれるようになったという声も聞きます。ISMSは認証を取れば終わりではなく、PDCAを回して運用していくことが真の目的です。今後も積極的な改善に務めることを経営陣で共有しています。

ISMSによる様々なルールを守った企業活動は、顧客を守り、自社を守り、従業員を守ることに繋がると考えています。今後、ISMSの運用を通し、社会において責任ある企業として発展していくよう、従業員一同努力してまいります。