Simpline Blog情報セキュリティマネジメントシステム

写真は地元(江戸川)の花火です。奮発して有料席をゲットしましたが、大正解でした。

さて、シンプラインでは情報セキュリティマネジメントシステム(ISMS)の認証(ISO/IEC 27001)を取得しています。認証取得は2017年、昨年は1回目のサーベイランス審査があり、先月2回目のサーベイランス審査を終えました。来年はいよいよ再認証審査です。

仕組みって大抵は形骸化していくものなので、初心を忘れないよう諸々振り返ってみようと思います。

–そもそも何故認証を受けようと思ったか？Pマークとは違うの？
Pマーク(プライバシーマーク)は「個人情報の取り扱いが適切か」を問うものです。
対してISMSは「情報セキュリティに対して組織的に計画・実行・改善していく仕組み」です。
シンプラインのビジネスはBtoBのみであり、個人情報以外にも多くの情報資産を取り扱います。
特にミッションクリティカルな顧客システムの設計・構築・運用をすることから、組織的な取り組みを強化する必要があると考えたのが取得のきっかけです。

–計画・実行・改善って具体的に何をしているの？
ISMSに関する年間スケジュールを作成しており、ポイントとしては下記が挙げられます。

①計画
セキュリティ目標の策定
⇒当該年度のセキュリティ目標を決める。
例）紛失事故を3件→0件に減らす

教育計画の策定
⇒従業員に対しての教育計画を考える。
例）8月～9月に1,2時間程度オフラインで教育を実施し、その後理解度テストを受講してもらう

内部監査計画の策定
⇒ISMSの運用がきちんと回っているかを内部でチェックする。
例）社内IT部門が毎月アクセス権の棚卸を実施していることを、エビデンスで確認する

②実行
教育
⇒計画に基づいて実際に教育を実施し、記録する

内部監査
⇒計画に基づいて実際に内部監査を実施し、記録する

資産目録の棚卸
⇒組織として保有する資産(紙,データ等媒体は問わず)に関して、
　主管部門や資産価値を棚卸する

リスクアセスメント
⇒資産価値や脅威や脆弱性を考慮し、現状のままで問題ないか、何か対策を講ずる必要があるかを判断する

③評価
計画・実行結果をISMS運用チームにて評価し、改善すべき点をトップマネジメントと協議する。
※シンプラインではトップマネジメントは社長になってます

④改善
次期以降に活かせるよう、実際の改善活動を行う。

–認証取得するメリットってあるの？
一番のメリットは「自分達でPDCAを仕組化し、第三者による評価が得られること」だと思います。
3年に1回は再認証を受ける必要があるので、自然と運用していこう！という気持ちにもなります。
また認証を取得していることで対外的なアピールにもなるかと。

…とつらつらと書いてみました。シンプラインはAIRzというSaaSもリリースしているので、ISO/IEC 27017(クラウドサービスセキュリティ)や品質マネジメントのISO9001も密かに狙っていたりします。
何にせよ取得することが目的ではなく、その後が大切ですね。これはITシステムも同様だと思います。