INDEX
従業員規模や業界を問わずISMS認証の取得を目指す企業が増えています。
企業で取り扱う個人情報や機密情報の多様化と複雑化、そしてクラウドなどのデジタル技術の進化による情報の偏在化などから企業情報資産を保護するために、ISMS認証の取得は企業にとって重要な課題の1つと言えます。
今回は、ISMS認証取得を検討している企業向けに、取得する意義から取得までの流れ、そしてコンサルティング会社を利用するメリット・デメリットを中心に解説します。
なぜISMS認証の取得が必要なのか?
ISMS取得によって、情報セキュリティに関する信頼性を利害関係者にアピールすることが可能になります。
ISMSとは、企業における情報資産のセキュリティを適切に管理するための仕組みのことで、情報セキュリティマネジメントシステムを意味する「Information Security Management
System」の頭文字から取った略称です。
ISMSでは、「機密性」「完全性」「可用性」を情報管理の三原則に掲げ、この3つの確保・改善を通じて、情報セキュリティに関する適正なリスク管理を行います。
ISMS認証取得は、企業は社外的にも社内的にもメリットがあります。
- ・セキュリティ対策が万全な企業としてのブランド力の向上
- ・顧客や取引先からの信頼性の向上(取引条件に該当など)
- ・情報セキュリティにかかわるリスクの軽減
- ・社内におけるコンプライアンス意識の向上
つまり、情報セキュリティ対策の証明になるISMS認証の取得によって、信頼性構築につながり、その結果、事業機会の拡大も期待できます。
ISMS認証取得の流れ
ISMS認証取得のためには、どのような手順が必要なのでしょうか。体制の構築から審査までのフローを解説します。
STEP1:適用範囲を決める
ISMS認証取得にあたり、部署ごと、支社ごとというように適用範囲を定めての取得が可能です。「全社に設定するのか」「特定の部署や拠点のみにするのか」など、情報資産の管理の適用範囲を決める必要があります。
事業を継続する上で、会社として保護すべき情報や業務は何かを洗い出し、適用範囲を決定しましょう。
STEP2:情報セキュリティポリシーの決定
従業員や利害関係者に情報セキュリティに対する考え方や行動指針を示すために、自社の「情報セキュリティポリシー」を策定します。。セキュリティポリシーの内容は、主に「基本方針」「対策基準」「実施手順」の3軸について定めることが一般的です。
STEP3:体制の確立
ISMSを運用していくために、ISMS管理責任者(推進チーム)とISMS内部監査責任者(内部監査チーム)を決めます。ISMSの構築や維持・報告を行うのが管理責任者、社内監査の実施や結果報告を行うのが内部監査責任者です。
STEP4:ISMS文書の作成
ISMSを維持していくための手順や管理施策を文書化します。ISMSの審査に通すために作るのではなく、従業員が理解しやすいのはもちろん、利用・実践しやすい形式で作成することが大切です。
STEP5:リスクアセスメントの実施
業務上で起こりうる潜在的なリスクを洗い出し、対応策を想定しておく「リスクアセスメント」を実施します。
企業がどのような情報資産を持っているのか洗い出し、その項目ごとに想定しうる脅威や脆弱性を洗い出します。業務を進める上で情報漏えいにつながるような隠れたリスクがないかを考え、そのリスクに対する対策を決め、適用宣言書を作成します。
STEP6:従業員教育
いくらISMSを構築しても、社内で浸透していなければ意味がありません。そのため、ISMSの概要や手順、自社の情報セキュリティ基本方針など、従業員に理解してもらわなければなりません。継続的な理解と意識向上のためには、社内でのセキュリティ教育を実施が必要です。
STEP7:内部監査
準備が整い、ISMSの運用がスタートした後、社内で定めたルールが適切に運用されているか、細かく監査を行います。運用が不十分であった際はリスクを指摘し、改善されるように補正をしていきます。
STEP8:マネジメントレビュー(経営陣レビュー)
経営陣に対し、ISMSの運用と成果について共有する必要があるため、現状の把握と課題、改善点を協議するマネジメントレビューを行います。ただ規定をつくるだけではなく、「運用体制がしっかりできているのか」までがISMS認証取得に必要な準備です。
STEP9:審査
認証機関による審査は、1回目の文書審査と2回目の現地審査の全2回に分けて実施されます。
1回目(文書審査)
作成した文書がISMS/ISO27001の要求項目に適合しているかを審査
2回目(現地審査)
適用範囲がルール通りに運用されているか、リスクがないかを現地で確認・審査
STEP10:ISMS認証取得とその後の運用
ISMS認証は取得することがゴールではありません。その後も新たなリスクが発生していないか、現状の運用体制に問題はないか、従業員はルールに沿って正しく行動できているかなど、日々のチェックと改善を図る必要があります。
ISMSを構築する際の注意点
ISMS認証取得は簡単な道のりではありません。取得を検討している企業向けに必ず確認しておきたい注意点を3つ説明します。
導入までの期間がかかる
適用範囲の決定から認証を得るまで、スムーズにいっても約1年ほどの期間がかかります。高度な専門性が必要とされ、長期のプロジェクトとなることは必須となりますので、通常業務との兼ね合いや作業の効率化が課題となります。
ノウハウと知識がいる
ISMS認証取得には相応のノウハウと知識が必要となります。特に洗い出したリスクに対する対応策を検討することは、初心者には難しいことが想像されます。そのため、予備知識のない自社の担当者が独力で認証を目指すとなると膨大な工数がかかるでしょう。
従業員を巻き込む
いくら規定やルールを作っても、社内で適切に守られていなければ意味がありません。従業員にとっても通常業務に加えて負担が増えますので、正しくルールを説明し、ISMSの重要性を継続して伝えていくことが大切です。全従業員に教育することが難しい場合は、まずは経営層・マネジメント層への周知・理解を促しましょう。
ISMS認証取得をコンサルティング会社に依頼するメリット
ISMS認証取得には、ノウハウを持っているコンサルティング会社に依頼するケースが一般的です。コンサルティング会社に依頼するメリット・デメリットを確認しておきましょう。
効率的にISMS認証を取得できる
コンサルティング会社に依頼する場合は、担当者が独力で認証までの社内調査や部門ごとの情報セキュリティの実態把握、文書化などの作業をする必要がなく、大幅な効率化が望めます。
自社と同業界・業態の先行実績がある
コンサルティング会社にはこれまで担当した各業態の企業の知見が蓄積されているため、自社と似た企業の先例を参考に適用範囲の設定や体制の確立を進めることも可能です。
BtoB企業かBtoC企業か、大手企業かベンチャー企業か、海外拠点があるかどうかなどの条件によって必要なリスク管理方法は変わってきますので、コンサルティング会社の知見を参考にするとよいでしょう。
ISMS認証取得をコンサルティング会社に依頼するデメリット
コンサルティング会社に依頼する際にデメリットとして挙げられる点を紹介します。
費用がかかる
コンサルティング会社に依頼する場合、範囲や規模にもよりますが100万円前後の費用がかかります。専門性が求められるセキュリティに関わる部分のため高額であることを想定しておきましょう。
「コンサルティングを依頼する場合はこの程度の費用がかかる」として実際に必要な費用を経営者や決裁者にも共有しておきましょう。
質の高いコンサルティング会社を探す手間がかかる
コンサルティング会社に依頼する場合、口コミや過去実績などから優良な会社をピックアップして検討する必要があります。パッケージ化されたISMS取得のコンサルティングサービスの場合、自社の要望が反映されないこともあります。
自社の要望を聞き、最適な内容や費用感行ってくれる会社かどうか見極めるため、コンサルティング会社選びは慎重に行う必要があります。
スピーディで堅実なISMS認証取得にはコンサルへの依頼が有効
特定の期日内にISMS認証の取得が必要な場合や、スムーズな社内体制やルール作りを進めたい場合はコンサルティング会社への依頼は必須と言えます。
費用や時間がかかる分、自社の課題や要望を理解し、適切な助言や調整を行ってくれるコンサルティング会社や、取得後の運用体制まで助言してくれる会社など、ポイントを絞って選ぶようにしましょう。