ISMS取得kobanashiアイキャッチvol.1

当社では2021年4月20日付でISMSの国際基準規格である「ISO27001」の認証を取得致しました。

でも『ISMSって何?』と思う人も多いかと思います。
情報セキュリティ超初心者だった私は担当に任命された当初、正に『ISMSって何?』という状況…。
とりあえずインターネットで調べてみるも難しいことばかり載っていて何を参考にしたらいいのかもわからない状態でした。

この記事では、私のように突然ISMS担当になってしまって不安でいっぱいの方や、会社でISMSを取得するようだけどどういうものなのかわからないという方、耳にしたことはあるけどどんなものなのか漠然と疑問に思っている方などのお役に立てる内容を実体験を元に掲載していきますので参考にしていただければと思います。

そもそもISMS認証(ISO27001)って?

ISMS(アイ・エス・エム・エス)とはInformation Security Management Systemの略です。直訳すると『情報セキュリティ管理システム』。企業などが持っている『情報』を守る仕組み、というと想像がつくでしょうか?
そして、そのISMSをどのように構築・運用していくかを定めた国際規格が『ISO27001』です。
ですので、正しくは取得するのはISMSではなく『ISO27001』ということになります。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていた為、その名残で『ISMS認証』と通称されることが多いようです。
国際規格と聞くと、さすがすごいことなのかもって気がしますね。

そうです!
ISO27001を取得することはお客様の安心や社会的な信頼に繋がり、対外的なアピールにもなるのです。

これは会社としては是非取得しておきたいものです。

データ鍵画像

ISMS担当に必要なものとは?

実のところ、担当者に一番必要なスキルはシステムの知識でもISO27001の理論的な知識でもなく『コミュニケーション能力』です。
担当者一人の知識や頑張りだけではISMS認証には至りません。重要なのは全社で同じ方向を向いて取り組むことです。
そのための各所への橋渡し役というのがISMS担当の一番大きな役割と言えます。

ISMS認証(ISO27001)の基本知識

知識がなかった私はまず、本を買うことにしました。
専門書なのであまり書店にはおいていないようでインターネットで購入。が、しかし、言い回しが難しく、正直全然頭に入ってきません…
(結果的には、専門書は具体的に動き出してから、知識の補足をするために活用しました。)
しかしながら、基本知識は当然ながら必要になりますので少し触れていきます。

ISO規格とは

ISO(国際標準化機構)とは国際的な取引をスムーズにするために共通の基準を発行している機関です。
ISOが制定した規格をISO規格といい、非常に多くの種類があります。
一般的によく目にするところで言うと、ISO 9001(品質マネジメントシステム)やISO 14001(環境マネジメントシステム)が代表的です。

アップリーチで取得したのはその中でも情報を適切に取り扱う為の規格であるISO27001です。

情報セキュリティとは

情報セキュリティとは「機密性・完全性・可用性を維持すること」と定義されています。

機密性:情報が漏れないように管理すること(アクセス権など)
完全性:情報が正確かつ最新であること(改ざん防止など)
可用性:必要な人が必要なときに情報を使えること(バックアップなど)

ざっくり言うと、『許可された人だけが必要なときに正確な情報を見れるようになっていること』ということですね。

情報セキュリティについてはこちらでも詳しくご説明していますので是非ご覧ください。
クリエイターズフィールドセキュリティ記事画像

ISMSの概念

ISO規格では共通してPDCAサイクルの箇条立てで構成されています。
PDCAサイクルとは「Plan(計画)」⇒「Do(実行)」⇒「Check(評価)」⇒「Action(改善)」を繰り返し行うことで、物事に継続的な改善をしていく手法ですが、ISO規格に限らずビジネスの場でもよく使われる言葉ですね。

ISMSにおけるPDCAは以下の通りです。

ISMSにおけるPDCA

取得の為の書類

審査で必要な書類には大きく分けて2種類あります。「規程・方針」「記録」です。
規程・方針については情報セキュリティ方針・ISMSマニュアル・情報セキュリティ管理規定・リスクアセスメント規程・適用宣言書などがあります。
記録については、情報セキュリティ目的管理表・リスクアセスメント表など規格方針の書類で定めたそれぞれの運用がきちんとなされているかどうかを示したものになります。

取得の為の秘策とは?

本当に一部ですが、ここまではISMS認証(ISO27001)の内容に触れてきました。
用意する書類の種類も多いことに加え、例えば管理規定は114項目もありますし、こういった申請物というのは対外難しい言葉や言い回しが列挙されていて、初心者では何からどう手をつけていけばいいのかもわからなくなってしまうのが悲しいところです。

更に、当社の場合は事業拡大につき最短スケジュールでのISMS取得を目指しており、わからないからと言って足踏みをしている時間的余裕はない状況でした。

ここまではただただ不安になってくる内容になってしまいましたが、ご安心ください。ISMS取得には心強い味方が存在します。
次回はその心強い味方について、そして、具体的に審査までにどのような準備をしたかもお伝えしますので是非ご覧ください。

男性とはてな

次回はこちら
~具体的に何を準備?費用は?ISOコンサルタントって?~

IT業界のあれこれを知りたい方はこちらの記事もお勧めです

【Web担当は知っておこう】5分でざっくり分かるドメインのこと色々
【初めてのアプリ開発】Metellアイディア出し編
【アプリ開発のトレンド】知らないと恥ずかしい!?Flutterとは?