解決したい課題 認証取得・運用の負担を軽減したい

企業の情報漏えい事故に関するニュースを受けて、情報セキュリティ対策の必要性を感じ、ISMS/ISO27001などの情報セキュリティ認証を取得し体制整備がしたいと思われることもあるのではないでしょうか。しかし、実際に認証を取得・運用するとなると、担当者の負担が大きくてなかなか取得に踏み切れない企業も少なくありません。

認証取得・運用における担当者の負担が大きくなってしまう原因として、例えば以下のような要因が挙げられます。

専任担当者の不在
企業規模にもよりますが、セキュリティの専任担当者を設けるリソースが無く、他業務と兼務してセキュリティ業務を担当している方も多くいらっしゃいます。
他業務が忙しくなってしまい、セキュリティ業務を計画通りに対応できず、対策が後手に回ってしまうケースもあります。
セキュリティ運用の知識不足
ITに詳しくても、情報セキュリティ対策やISMS認証取得・運用には詳しくないというケースも多くあります。
また、ある程度知識があったとしても、セキュリティの脅威や対策は変化していくため、それらの情報収集に工数を取られてしまう側面もあります。
担当者変更における
引継ぎが不十分
セキュリティ担当者の異動や退職が急に決まってしまい、十分な引継ぎが行われないままに後任担当者がセキュリティを運用していかなければならない場合もあります。
セキュリティ業務は1人で担当しているケースも多く、これまでの運用状況を前任担当者しか把握しておらず誰も状況が分からない事態に陥ってしまうこともあります。

認証取得・運用にかかる担当者の工数

情報セキュリティ認証取得・運用において、ISMS運用担当者(以下、事務局)は具体的にどのような対応が必要になってくるのでしょうか。
ISMS/ISO27001認証取得に必要な対応をもとに見ていきましょう。

ISMS/ISO27001認証取得に必要な対応

1. 適用範囲の決定

ISMS認証は法人単位だけではなく、部署単位や事業単位など任意の範囲で取得可能なため、ISMSのルールが適用される範囲を決定。

2. 認証機関の選択

審査機関ごとに費用や審査での指摘内容の傾向が異なるため、自社に適した審査機関を選定。

3. ISMS体制構築

トップマネジメント、情報セキュリティ管理者、情報セキュリティ担当者、内部監査員などを任命。

4. 情報資産洗い出し

適用範囲内における情報資産をすべて洗い出し、台帳に一覧化。

5. リスクアセスメント

適用範囲内における情報セキュリティ上のリスクを洗い出し、対応策を検討。

6. 文書作成

従業員が守るべきルールや、事務局の対応事項についてマニュアルを作成。

7. 委託先管理

委託先を洗い出し、セキュリティ水準を評価。

8. 従業員教育

社員の役割に応じて情報セキュリティ教育を実施。

9. BCP試験

災害やシステム障害が起きた際にも情報セキュリティが担保できるかを確認。

10. 内部監査

事務局と社員に対して内部監査を実施。

11. マネジメントレビュー

トップマネジメントにISMS活動を報告し、次年度の運用の指示を受ける。

12. 認定審査

事務局向けの第一段階審査と、社員向けの第二段階審査を受ける。

このように事務局には、さまざまな対応が求められます。また、これらの取り組みは一度対応すれば終わりではなく、毎年状況を見直してより良くアップデートし続けていく必要があります。

適用範囲によっては全社を横断したプロジェクトとなるため、それだけ作成すべき台帳の量が増えたり、コミュニケーションを取るべき対象が増えたりと、負担が大きくなってしまいます。

工数軽減手段とメリット・デメリット

ISMSなどの認証取得・運用には多様な対応が求められるため、自社だけで対応するのではなく、コンサルティング会社などの支援を受けるケースがほとんどです。
認証取得・運用の支援としては例えば次のようなものが挙げられます。

コンサルティング会社

認証取得・運用に関する相談対応が可能です。コンサルティング会社によって支援内容は様々で、フォーマット提供や一部業務を代行してくれるケースもあり、料金についても数十万円から数百万円など幅があります。また、取り組みをリードしてくれる・豊富な知見をもとに体制構築できるなどのメリットがあります。
場合によっては一方的にやり方を押し付けられてしまうこともあります。
コンサルタントがあれこれ教えてくれているイメージ

ツール提供会社

ツールの案内をもとに自社で認証取得・運用が可能です。自社での対応リソースを十分に確保できる場合は、イニシャルコストを比較的安く抑えることができます。
自社のセキュリティ運用がそのツールに依存してしまう、ランニングコストがかさんでしまう恐れがあります。
ビジネスマンがクラウドサービスを利用しているイメージ

BPO/代行会社

認証取得・運用に関わる業務を総合的に代行してくれるため、事務局の負担を大きく軽減できます。セキュリティ知識が豊富で、現場をきちんと理解してくれる代行会社であれば、組織のセキュリティ向上を効率的におこなうことが可能です。
他サービスと比較して費用が高い傾向があります。また、自社のセキュリティが代行企業に依存してしまう恐れがあります。さらに場合によっては、あくまで認証の取得・維持を目的とした対応により、自社の業務実態に即さない実効性の低いルールを無駄に運用し続けなければならない恐れがあります。
複数のビジネスマンが協議しているイメージ

いずれも一長一短ありますが、せっかく認証を取得するのであれば、自社の実態に即した意味のある体制構築を目指すことをおすすめします。
そのためには信頼できる支援会社を見極めることが重要です。審査に通るためだけの仕組み構築となってしまわないか、やり方を一方的に押し付けられてしまわないか、自社のセキュリティ運用が支援会社に依存しすぎてしまわないかなどを吟味しましょう。

LRM株式会社が提供するコンサルティングサービス

当社では、ISMSやISMSクラウドセキュリティ認証など、幅広い情報セキュリティ認証取得のコンサルティングサービスを提供しています。

当社のご支援では、お客様のご状況を丁寧にヒアリングし、主要なセキュリティ規程はすべて情報セキュリティに特化したコンサルタントが作成いたします。各種フォーマットのご提供はもちろん、従業員教育実施のためのクラウドサービスをご利用いただけますので、工数を軽減することが可能です。

また、事務局の一員としてコンサルタントが実務を担う「セキュリティBPO」も提供しています。
セキュリティBPOは、事務局の作業工数が85%以上削減できるほか、専任者を新たに1人採用するよりもリーズナブルにご利用いただけます。ぜひお気軽にお問い合わせください。

まずはお気軽にお問い合わせください

関連する支援メニュー

解決したい課題一覧に戻る

まずはお気軽にお問い合わせください

TEL03-5719-6234

お電話でのお問い合わせもお待ちしております。
受付:10:00~18:00 (土日祝日、年末年始は除く)