ISMS認証の取得をしようと思っても、いざ調べてみると「やることが多くて大変そう…」となって断念する企業は一定数いらっしゃいます
コンサルティングを利用すれば大幅に手間を削減できますが、「うちにはそんなお金ないし…」「上から自社で取得しろと言われた…」という場合もあるのではないでしょうか。その場合、担当者がISMSについて勉強し、認証取得に向けた取り組みをリードしなければなりません。
今回は、ISMS取得時に対応しなければいけないことをご紹介します。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
ISMS取得に向けて対応しなければならないこと
まず審査を受けるまでには、大きく分けて5つの準備(対応)が必要になります。
- ISO/IEC 27001の規格要求事項の理解
- ISMS推進体制の確立
- ISMS構築手法の理解と決定
- ISMSの構築及び運用
- ISMSの内部監査を実施し、代表者による見直し
これだけでは難しいですしよくわからないと思いますので、もう少し簡単に説明しますと、ざっくり下記19個のことをおこなえば、ISMS認証はおおむね取得可能です。
- スケジュールの決定
- 規格内容の理解
- 役割の決定
- 情報セキュリティ目標の設定
- 認証取得範囲の決定
- 審査機関の決定
- 情報セキュリティ方針の作成
- 情報資産の洗い出し
- リスクアセスメント
- 法令の特定
- 各種文書の作成
- 委託先の管理
- 従業員への情報セキュリティ教育
- 情報セキュリティ継続
- 内部監査
- マネジメントレビュー
- 第1段階審査
- 第2段階審査
- 次年度のスケジュール決定
では、具体的にどういったことをしなければならないのか、詳しくみていきましょう。
スケジュールの決定
ISMSでは、ISMS体制の構築に向けたスケジュールを文書化する必要があります。わかりやすく言いますと、「取得に向けたToDoリスト・進捗確認表」を作るイメージです。スケジュールには、認証取得に向けてやることを書いていきます。そのため、こちらの記事を参考にしながらスケジュールを作っていきましょう。
認証取得に向けて、実施が完了したものはToDoを塗りつぶしたりして、進捗管理するとわかりやすいです。
弊社のほうでも、検討段階から審査当日までの一連の流れを23項目のTodoリストにいたしました。ぜひ無料でDLして貴社の認証取得にお役立てください。
規格内容の理解
まずはISMSの規格に何が書かれているのかを確認します。この規格がいわゆる「ISO/IEC27001」です。しかし、これはもともと英語で書かれているため、日本語で規格を確認したい場合は、日本語に訳された「JIS Q 27001」を確認しましょう。
規格は、日本規格協会のWebサイトから購入可能です。
規格は、本文と附属書Aに分かれています。
本文
本文には、ISMS認証を取得する際に実施しなければならない「要求事項」が記載されています。この内容は、どんな企業であっても対応できる内容ばかりですので、きちんと対応しなければなりません。
附属書A
一方で附属書Aには、実際に情報セキュリティマネジメントシステムを構築して自社のセキュリティリスクを管理するために実施することが推奨される「管理策」が93個記載されています。93個すべてに対応する必要はなく、その中から自社にとって必要な項目を洗い出し、対応していきます。
コンサルティングを利用する場合、コンサルタントが本文や附属書Aに書いてある内容を解説してくれたり、「御社の場合はこの部分でこういった対応が必要ですね」といったように提案をしてくれたりしますので、規格を読み込む必要はない場合も多いですが、自社で取得するとなれば、それぞれどういった内容が書かれているのかを確認していく必要があります。
※ちなみに、ISO27001は2022年に改訂され、取得企業は対応が必須になっています。変更内容とやるべき対応をまとめた資料を無料で配布していますので、ぜひご一読ください。
役割の決定
ISMSでは、効率的に運用をおこなうため、いくつかの役割を決定しなければなりません。
基本的には、下記のような役割を決定します。
- 企業の情報の取り扱い方など、最終的な判断を下す人です。
- 全体を統括したり、従業員へISMS取得に向けた取り組みが円滑におこなわれるよう支援したりします。
- 「組織(認証範囲内)の代表者」が適任です。
- 企業の情報セキュリティ活動を統括し、責任を負う人です。
- 現場と経営陣の橋渡しができる人が適任です。
- 情報セキュリティ管理者のもとで、現場に情報セキュリティマネジメントシステムを浸透させるための役割を担う人です。
- 現場のことをよく知っている人が適任です。
- 社内システムの情報セキュリティに対して責任を負う人です。
- 大抵の場合は、情報システム部などから選出されます。
- 情報セキュリティマネジメントシステムが適切に機能しているか、第三者の立場から判断する人です。
- 独立した視点を持って監査する必要があるため、コンサルタントなど社外の人間が担う場合もあります。
- 規格の要求事項を理解している人、内部監査に関する知識を持っている人を選出します。
※トップマネジメント、情報セキュリティ管理者、内部監査員はかならず設けなければなりませんが、それ以外の役割は必要に応じて設ければOKです。
それぞれの役割はただ選出すれば良いというものではなく、「その役割を担うに値する人」を選ばなければなりませんし、必要に応じて教育が必要です。ただし、なにをもって「役割を担うに値する」と判断するかというのは、各社が自由に決めることができます。
情報セキュリティ目標の設定
認証取得にあたって、セキュリティに関する目標「情報セキュリティ目標」を掲げる必要があります。初年度は、「情報セキュリティルールを文書化する」のような基本的な目標を掲げる企業が多いですが、2年度目以降になると初年度の反省を活かした目標を掲げる企業が多いです。
例えば、「情報セキュリティルールを文書化する」「従業員のセキュリティリテラシー向上」「インシデント0件」などが挙げられます。
情報セキュリティ目標を達成しようとすることで、普段のセキュリティ意識を高められるような、そして同時に組織がよりよくなるような目標を設定頂ければと思います。
認証取得範囲の決定
同じような情報セキュリティに関する第三者認証として、日本ではISMSとPマークが有名です。
Pマークの場合は、必ず全社での取得をおこなわなければならず、Pマークの認証取得範囲を企業側が自由に設定することはできません。それに対して、ISMSは認証取得範囲を企業側で自由に設定可能です。
- どの事業所(オフィス)で
- どの業務で
- どの部署で
ISMSを取得したいのか、というのを考えてみましょう。
場合によっては「全社で取得」となるかもしれませんし、「グループ会社もあわせて取得」「システム開発部だけで取得」「東京本社だけで取得」といったことになるかもしれません。
なお、取得範囲によって、ISMSの審査やコンサルティングにかかる費用は変わってきますし、この後に説明する色々な作業での手間のかかり方というのも大きく変わってきます。そのため、「とりあえず全社で取得!」となるのではなく、まずは必要な範囲で取得して、徐々に範囲を拡大していった方が、金銭・時間などあらゆる面で過剰なコストがかかるのを防ぐことが可能です。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や取得範囲にお悩みの方は、お気軽にご相談ください。
審査機関の決定
ISMS認証を取得するということで、審査を受ける必要があります。ISMS認証の審査をおこなっている機関は多くありますので、その中から「審査の質」「金額」「審査可能時期」「審査実績」などが自社の希望する条件にマッチするところを選びましょう。
また、将来的にISMS以外の認証(例えばISO27017など)も取得する予定がある場合は、選定する審査機関がISO27017を審査の対象としているか確認することも重要です。いずれISO27017を取得しようとなった際に審査機関を変更するなどの手間がかからないようにしておきましょう。
コンサルティングの契約をしている場合は、コンサルタントにオススメの審査機関を確認してみると良いかもしれません。
情報セキュリティ方針の作成
経営方針があるように、ISMSを構築・運用していくにも方針が必要になっていきます。それが「情報セキュリティ方針」です。自社のISMSにおける目的や方向性・セキュリティに関するトップマネジメントの考え方などが含まれる文書になります。
情報セキュリティ方針はホームページに公表することは必須ではないですが、「必要に応じて、利害関係者が入手可能」な状態にしておく必要があります。また、従業者に対し情報セキュリティ方針を周知しておく必要もあります。
情報セキュリティ目標の設定の章でも説明した通り、会社がセキュリティ面において目指す方向であり、そのため審査でも必ずチェックされる重要な項目になります。
情報資産の洗い出し
自社の情報を守るためには、まず自社がどういった情報を持っているのか把握する必要があります。情報を洗い出す方法は様々ありますが、例えば部署ごとに、それぞれがひたすらExcelファイルなどに自部署が持っている情報を一覧化していく方法などが一般的です。
※下記の表は例です
| 情報資産名 | 情報資産の責任者 | 保管場所 | 保管期間 |
|---|---|---|---|
| 決算書 | 社長 | 鍵付きキャビネット | 10年 |
| 領収書 | 経理部長 | 鍵付きキャビネット | 7年 |
| 経理データ | 経理部長 | 会計クラウドサービス | 10年 |
| 損益計算書データ | 経理部長 | 会計クラウドサービス | 7年 |
どれくらいの粒度で洗い出すのか、どういった情報を一覧に追加するのか、どのフォーマットを利用するのか、といった点は事前に取り決めて共有しないと、各部署ごとにバラバラの台帳が出来上がる可能性がありますので、注意が必要です。
リスクアセスメント
リスクアセスメントとは、認証範囲内に存在する様々なリスクを洗い出し、評価する一連の流れを指します。
実際には業務を見直す機会にもなるため、情報セキュリティに関わらず、業務品質・効率を改善するチャンスにもなります。
リスクアセスメントの方法は色々あります。情報資産一つ一つからリスクを洗い出していくやり方である「情報資産ベースのリスク分析」、業務工程に沿ってリスクを洗い出していく「業務フローベースのリスク分析」、既存の標準や基準からベースライン(自組織の対策基準)を策定してチェックしていく方法である「ガイドラインベースのリスク分析」などがあります。
一般的によく使われる手法は「情報資産ベースのリスク分析」ですが、LRMのコンサルティングの現場では、「業務フローベースのリスク分析」を採用することが多いです。(お客様のご要望やご状況によっては別の方法を選択したり、複数の方法を組み合わせて実施することもあります)
「業務フローベースのリスク分析」の利点は、その名の通り業務フローに沿ってリスクを洗い出していくので、イメージがつきやすくわかりやすい点にあります。担当者が変わった場合や業務フローが変わった場合の確認・変更も容易です。
一方で「情報資産ベースのリスク分析」の場合は、情報資産のリストだけを見ても慣れていない担当者にとっては内容を把握しづらいですし、リスクの洗い出しも難しいというデメリットがあります。
様々な方法があるので、自社に合うアプローチを選択することが重要になっていきます。
法令の特定
ISMSの取り組みにおいて、情報セキュリティや業務に関連する法令を認識することも必須です。日本で企業活動をする企業であればほぼ確実に関係する法令として、「個人情報保護法」や「マイナンバー法」・「不正アクセス禁止法」などが挙げられます。
また特定した法令は、最新の状態にしておく(定期的に法改正を確認する)必要があります。
委託先の管理
委託先とは、「自社の情報を預けているところ」になります。
委託先管理とは、「委託先を洗い出し、自社の情報を預けるに値するかを判断する」ことを指します。
仮に委託先が情報漏えいを起こしてしまうと、監督責任を果たさなかったということで、責任が委託元に降りかかります。そのため委託先には、情報漏洩対策が適切に行われているのかを把握するのと同時に、場合によってはセキュリティ教育を実施する・実地監査を行なうなどといった対応が必要になることもあります。
また、判断して終わりということではなく、必要に応じて、選定した委託先が引き続き情報を預ける委託先として適切かどうか見直しをすることも求められています。見直しをする理由としては、委託先のセキュリティの管理状況も変化し、同時に自社のセキュリティ基準も変化する可能性があるためです。
昨今、委託先によって情報漏えいが起こる事件が多発しておりますので、委託先管理についてもよく審査でチェックされるポイントになります。
従業員への情報セキュリティ教育
ISMSの規格では、「ISMSに関わる人に必要な能力を定め、適切な教育や訓練、経験を通じてその能力を確実に身に着けること」が求められています。
- 必要な能力の例
-
- 情報セキュリティインシデントを起こさないためのリテラシー
- 情報セキュリティ体制を改善していくための知識や技能
これらを確認するための手法として、eラーニングやセミナーでのテストなどが挙げられます。審査では、教育実施記録の提示を要求されることがありますので、記録は保持する必要があります。
情報セキュリティ継続
災害・障害・事故などはいつ起こるかわかりません。そのような事業継続が困難な状態に陥ったときに備えて、あらかじめ事業を継続するための計画を立てなければなりません。
また実際に立てた計画に問題はないか、いざというときに役に立つのかを、事業継続訓練を実施するなどして確認します。
事業継続訓練の例としては、下記などが一般的です。
- 避難訓練
- 社内ネットワーク・サーバーがダウンした際の対応訓練
- 利用している主要なクラウドサービス(例えばメール、チャット、クラウドストレージなど)が停止した際の対応訓練
- 提供しているサービスに障害が発生した際の対応訓練
明確にこうしなければならない、という決まりはありませんが、「ISMS適用範囲の中で事業継続に影響を考えるもの」をピックアップし、それに対する計画・訓練を実施するのが適切と言えます。
LRMでも、展開しているクラウドサービス「セキュリオ」のデータベースに何らかの不具合が発生した想定で、リストアの事業継続試験を実施したことがあります。実施した結果、当時のリストア手順書が本当に正しいかを確認することができました。
内部監査
内部監査は、マネジメントシステムの「Plan(計画) → Do(実行) → Check(確認) → Act(改善)」という一連の流れ(PDCAサイクル)の中の「Check(確認)」の工程となります。
では、何を「Check(確認)」するのでしょうか?それは「作ったルールが規格の要求事項を満たしているか」「自社で決めたルールに則り、日々の情報セキュリティに関する取り組みをおこなえているか」ということです。
では、どうやって内部監査を進めていくのか、説明していきます。
内部監査の流れ
内部監査員の選定
まずは内部監査の担当者である内部監査員を決めていきます。ここで注意するのが、内部監査員は「対象の部署やチームを客観的に見ることができる人」である必要があるということです。そのため、自分の所属する部署やチームを監査することはできないというルールがあります。
なお、「内部」とは付いているものの、内部監査員を社外の方に頼むことも可能です。実際、LRMがコンサルティングを行っているお客様の場合、LRMのコンサルタントが内部監査員として監査を実施するケースが多いです。
「監査チェックリスト」の作成
「監査チェックリスト」という文書を作成し、この文書をもとに内部監査を行っていきます。作成は必須ではありませんが、事前にチェックしたい項目をリスト化しておけば、内部監査時にどういう観点でチェックすべきか迷う必要がありませんし、後ほど内部監査で何をチェックしたのか確認する際にも便利ですので、ぜひ作成していただければと思います。
実施
実際に作った「監査チェックリスト」をもとに内部監査を行っていきます。
報告書作成の作成
「監査報告書」を作成していきます。内部監査で出た指摘を報告書に記入していきます。
もちろん確認しただけで終わってはいけませんので、「Act(改善)」に繋げるために、確認した結果はトップマネジメント(代表者)がレビューする必要があります。報告に関する詳細は、次の「マネジメントレビュー」でご説明します。
マネジメントレビュー
マネジメントレビューとは、「自社のISMSが意味のあるものか」を確認するための見直し活動のことです。
このマネジメントレビューの結果の証拠として、「どのような報告(インプット)をトップマネジメントにしたのか」と「トップマネジメントがどのような決定(アウトプット)をしたのか」を文書化する必要があります。
ISMSを構築していく以上、その活動が組織にとって意味のあるものになっていくことが理想です。そのため、「自社のISMSが意味のあるものか」を確認するための指標を設定し、それらが今年度はどうだったかという報告(インプット)をする必要があります。インプットの内容には、「前回までのマネジメントレビューの結果の対応状況」であったり、「情報セキュリティ目標の達成状況」「内部監査の結果」「インシデントの発生状況」などが挙げられます。一方で、この結果をトップマネジメントに報告し、レビューされた結果がマネジメントレビューの「アウトプット」になります。
ISMSの構築・運用では、トップマネジメントが積極的に関わることが求められますので、この工程は欠かせません。
審査
いよいよ審査の段階に入っていきます。審査機関から、審査が実施される前に「審査計画書」が送付され、それを元に審査を行う形になります。
第1段階審査
第1段階審査は、文書確認を中心としたマネジメントシステムの構築・運用確認の審査です。
PDCAサイクルで言うと、P(計画)の部分を重点的に見られます。そのため、この時点で情報セキュリティ目標や情報セキュリティ方針がなかったり、リスクアセスメントを行っていないとなると、指摘を受けることになります。
第2段階審査
第2段階審査では、構築したISMSが実際に運用されているのか、有効に機能しているのかを審査されます。
つまり、従業員がきちんとルールを守っているかということが見られます。実際に審査員が現場(オフィスなど)に入って、「使っているパスワードが適切かどうか」「クリアデスクが徹底されているか」「放置されているパソコンはないか」などをチェックしていきます。
この審査を無事に突破すると、晴れて「ISMS」/「ISO27001」の認証取得になります。
審査については、別の記事でさらに詳しく記載しているので、そちらも合わせてチェック頂ければと思います。
次年度のスケジュール決定
第1段階審査・第2段階審査後、1ヶ月ほど経過すると、認証書が発行されます。
無事認証書が発行された後は、次年度のスケジュールを決定していきます。ISMS認証は継続的に運用していくものなので、初年度の反省を活かしてISMS運用をさらによりよいものにしていきましょう。
おわりに
ここまで、ISMS取得時に対応しなければならないことを挙げてきました。ISMS認証は比較的柔軟な制度のため、最低限の必須事項を確実に行い、無理のない自社に合ったルールを構築していくことがポイントです。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
