情報セキュリティマネジメントシステムISMSの取り方

オフィス環境

こんにちは。コーポレートブランディング部のやなぎです。
先日オルトプラスではより一層高いセキュリティ体制と情報資産の安全な管理を目指し、日本、ベトナム両拠点でISMSを取得しました。

ISMSとは?
近年、IT化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。出展 https://isms.jp/isms/

今回はこれからISMSを取得することを検討している方々に有益になるようなノウハウをお伝えできればと思います!

ISMS取得までの道のり

ISMS取得推進委員会の結成、キックオフ

まずはキックオフです。今回オルトプラスでは専門の部署は設けず、CEO、CFO、総務部長、法務、ネットワーク&セキュリティ担当のメンバーが集まり、ISMS取得推進委員会を結成しました。キックオフの際に取得目標時期及びCISOの決定をします。

CISOとは?
企業などの組織に置かれる役員クラスの役職の一つで、情報セキュリティを管掌するもの。情報システムや通信ネットワークへの内外からの攻撃に備え、システムの運用指針や対策基準の策定、機器やソフトウェアへの安全対策や監視、有事の際の対応などを統括する。出展:http://e-words.jp/w/CISO.html

情報資産の洗い出し

社内の情報資産の洗い出しをします。
たとえば顧客情報、取引先情報、見積書、契約書、受発注書、請求書、名刺、年賀状リスト、株主名簿、カタログやパンフレット、IR情報、WEBサイト、ワークフローの内容、ソースコード、内部監査資料、連絡通達書、会議の議事録など企業の業務遂行の上で生み出される情報すべてが対象です。

 

 リスク評価とリスク管理

情報資産を洗い出したら、次に資産レベルの評価をします。
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のいわゆる「C.I.A」の観点でそれぞれの情報資産を点数づけして、資産レベルを算出します。その資産レベルに対して影響を与えるリスクを評価し、リスク低減のために対応するべきセキュリティ管理策を決定します。

セキュリティ管理策の実施

クリアデスク、クリアスクリーン、PASSWORD8桁運動、デスクトップのアイコンを綺麗に、セキュリティーカードの常時携帯など、セキュリティ委員会で取り組む施策を企画し、運用実行をしていきます。

社員教育の実施

オルトプラスの場合は、「5S運動」をキーワードに社員教育を実施しました。
・整理
・整頓
・清潔
・清掃
・躾(しつけ)

上記テーマに基づいてセキュリティ対策の基本的な知識と施策を全体会議、チャットワーク、社内ポータル等で周知しました。その後社員全員にアンケートを実施し、全社員の理解度をチェックし教育を徹底しました。

内部監査

オルトプラスの場合、教育を受けた次の週にメンバー同士でセキュリティー管理施策がきちんと実行できているかを確認しました。
Google Drive上でチェックをリストを作成して共有し、できていないところの可視化・共有をすることで注意喚起をしやすくする工夫をしました。

審査

審査は2段階に分かれています。
①ステージ1(事務局のみの審査)
作成した書類の確認と、事務局メンバーが審査員の人からヒアリングを受けます。
非常階段はどこか?深夜通用口はどこか?ポストの暗証番号がきちんと決まっているか?
執務室と外部の人が入るスペースが隔離されているかどうか、などヒアリング内容を元に懸念点のフィードバックがあり、懸念点についてはステージ2までに改善することが求められます。

②ステージ2(全社の審査/2日間)
前回いただいた懸念点についての進捗確認があります。
その後、CISOのインタビュー、システム管理者のインタビュー、全部署の代表者(抜き打ち)へのインタビューを経て、審査結果報告書を受領します。

審査から取得までは約1ヶ月です。1ヶ月後に認証登録書とともに通知が送られてきます!

 

ISMS取得をスムーズに進めるためのポイントは?

情報資産の管理を普段から意識的に行うこと

取引先リストやデーターベースの洗い出しは、一番時間と労力がかかるポイントです。
弊社では普段からデータベースの管理をしていたので、ある程度の情報がまとまってあったことが救いでした。

社員のみんなを巻き込むこと

ISMS推進事務局メンバーだけでなく、社員みんなを巻き込むことがとても大切です。弊社では全社会議にてISMS取得のための呼びかけ、教育を実施したところ、クリアデスクやホワイトボード消し忘れの呼びかけなど、事務局以外のメンバーも率先して動いてくれました。

まとめ

今回ISMS取得を目指したことで、自社のセキュリティーに対する新たな課題や目標、自分たちだけではわからない気づきがあったことが収穫でした。また、ISMSは取得がゴールではなく、今後どんなことに取り組んで改善を続けて行くかがとても大切です。
現在も週2回の事務局の定例を設け、今後の運営方法の検討を進めています。

タイトルとURLをコピーしました