いつも当社のブログをご覧いただきありがとうございます。
秋も深まりつつありますが、いかがお過ごしでしょうか。当社は、先日(9/22)ISMSサーベイランス審査を受けました。ISMSサーベイランス審査とは、情報セキュリティマネジメントシステム(ISMS)の認証継続のための審査です。
審査は不適合事項もなく完了し、無事に認証継続となりました。
当社は、2009年8月にISMSの国際認証規格である、ISO/IEC:27001の認証を取得しました。
以来、14年間ISMSの運用を行ってきました。毎年思うことですが、このISMS認証の維持およびISMS運用は非常に大変に感じます。「ネットでもISMS認証は意味があるのか?」などの検索キーワードが提示されます。しかしながら、セキュリティに対する重要性が高まるこのIT/ネット社会においては、企業・組織の中での情報セキュリティマネジメントシステム(ISMS)の運用が非常に重要なマネジメントフレームワークとなると考えます。
今回は、ISMS運用の大変さとそのメリットなどをお伝えしたいと思います。
その大変さからですが、まずはISMS運用管理のプロセスが非常に多いということです。
「年間計画の作成」とその承認から始まり、「リスクアセスメント」によるリスクの棚卸し、「顧客からの要求事項」や「コンプライアンス要求の確認」など、運用のスタート時点からたくさんの仕事があります。そして、「委員会の開催」「教育の実施」「IT設備の点検」「非常時の訓練」など定期的なイベントもこなさなくてはなりません。また、マネジメントシステムですからPDCAモデルを採用していますので「内部監査」「マネジメントレビュー」などの評価イベントも行います。各社の担当の方のご苦労が偲ばれます。
しかしながら、こうしたPDCAマネジメントシステムを運用維持ができているということは、情報セキュリティの維持を目的とした活動が継続できる組織である、という裏付けにもなります。
このことで、
・社員の意識向上
・取引先からの信頼
・企業組織品質の向上
などのメリットが見込まれます。
ISMS運用管理が大変であると書きましたが、そのプロセスの課題を一つひとつ分解し主旨を理解すると効率化が図れます。「年間計画の作成」や「リスクアセスメント」などの準備をしっかり行い、定期的なプロセスをルーチン化することで効率的に運用ができますし、しっかりとそのメリットを認識して運用することでスムーズな運用につながります。
昨年、国際規格『 ISO/IEC 27001』がバージョンアップしましたので、来年2023年度は新しい要求事項での更新審査となります。計画的に準備を進めたいと思います。
なお、以下のようなツールもあるようなので更に効率化が図れるかもしれません。
(出典元:ISMSオートメーションツール『 SecureNavi 』)