テレワーク導入企業がISMSを取得するためには?

在宅勤務・テレワークでもISMSは取得できるのか?

昨今、コロナウイルス等の影響で、テレワークを導入している企業様が急増しています。
そんな状況の中で、弊社に寄せられる質問として多くなってきたのが、「会社としてテレワークを導入してるのですが、ISMS取得は可能ですか?」というものです。

結論から申し上げますと、テレワークを実施している企業でも、ISMSを取得することは可能です。

ただし、通常のISMS取得に加えいくつか取り組み上注意すべき点が出てくるのも事実としてありますので、本ページではそちらについて解説させていただきます。

普通の企業が取得するときとの違い

テレワーク導入企業が取得の取り組みを行う際に注意すべき事としては「リモートワーク先のセキュリティ対策が実施できているか?」という点になります。

情報をやり取りするネットワーク環境は暗号化されているか?

社内とは異なるネットワーク環境で業務を行うことになりますので、ネットワーク環境面でのルールを定めておく必要があります。

    ルール例

  • 自宅での作業の場合、WPA以上の暗号化方式を利用する
  • 無線LANのパスワードは15ケタ以上に設定する。
  • ルータの管理画面のパスワードは15ケタ以上に設定し、ファームウェアを最新の状態に維持する

作業端末の紛失・盗難対策を行っているか?

営業などで外出されることが多い従業員の方向けにはもちろんですが、テレワークを実施している場合、内勤の方でも「自宅にPCを持ち帰る」「コワーキングスペースで作業をする」事が発生しますので、しっかりと対策を行う必要があります。

    ルール例

  • 持出PCには持ち出す必要のない情報(機密情報・個人情報)は保存しない
  • 持出端末のHDD暗号化
  • 推測されにくいログインパスワードの設定(指紋認証等の生体認証機能付きPCの使用もお勧め)
  • 端末を持ち運ぶ際には鞄から目を離さない(電車の網棚等に置かない)

覗き見などされない環境で作業を実施しているか?

こちらも上記と同様の理由から、ルールの設定を行います。
必要であれば、のぞき見防止フィルターなどを導入することもあります。

    ルール例

  • カフェ等での作業は禁止
  • 自宅で業務を行う場合でも、家族に情報を閲覧させないよう配慮する
  • のぞき見防止フィルター

テレワークで取り扱える情報資産の分類分けを行っているか?

テレワークで業務を行う場合、少なからずリスクが大きくなりますので、扱える情報資産をある程度ルールとして決めておく場合もあります。

    ルール例

  • 個人情報や社内の機密情報は扱わない
  • 社内システムには社内のIPからのみアクセスできるよう設定する

テレワーク先で印刷した紙のライフサイクル管理

テレワーク先で書類などを印刷した場合、そちらのライフサイクル管理※も行う必要があります。

    ルール例

  • テレワーク先における印刷物の取り扱いルールを定める(印刷から廃棄における管理方法)
  • ルールが順守できない場合には印刷を禁止する(例:廃棄方法がシュレッダーだが、テレワーク先にシュレッダーがない等)

取り組みにおける違い

テレワークを実施しているからといって、取り組み自体に大きな違いはありません。

通常通りに、情報セキュリティ方針に沿って情報の取り扱いルールを定め、従業員の方がルールの順守を行うような体制をつくっていきます。

取得において気を付ける点

テレワーク用マニュアルの作成を検討する

通常のISMS取得の取り組み上であれば、社内ルールとして規定・マニュアルを作成して進めていきますが、テレワークを行っている企業の場合、もう1つテレワーク用の規定・マニュアルを用意し、テレワークに関する規定などはそちらに記載していく方が、管理者も従業員もテレワーク上で順守すべき内容がわかりやすくなるため、おすすめしています。

もちろん、1つの規定・マニュアルにテレワークのものを組み込む形で作成しても問題はありません。

テレワーク実施者とのコミュニケーション・連絡手段を明確にしておく

テレワーク実施者の従業員とは、社内で顔を合わせる機会がありませんので、Web会議ツールなどを使って定期的にコミュニケーションをとることも重要です。

また、緊急時の連絡手段を予め明確にしておくと、スムーズに情報伝達を行うことが出来ます。

審査について

どのように審査が行われるのか?

基本的には、審査員がオフィスに訪問し審査が行われます。

その審査の場で、テレワークを行っている従業員の方にWeb会議ツールなどを使って、インタビューが行われることもあります。

また、テレワーク先に情報資産(サーバや書類の原本)がある場合、テレワーク先のセキュリティ環境を確認するため、実際に審査員が訪問しての確認が入ります。審査員の立ち合いが難しい場合、テレワーク先の従業員がWeb会議ツール等で作業環境を審査員に確認してもらう場合があります。

注意点

テレワーク先(自宅)で恒常的に書類の保管など、該当業務そのものを自宅で行うのであれば自宅を適用範囲に含める必要があります。

テレワークのセキュリティ構築コンサル実施中!

LRMではウェブ会議ツールやチャットツールを利用したフルリモートコンサルティングを実施しています。
また、テレワーク特有の事情に対応したルール構築支援の実績も豊富です。

  • フルリモートでISMS取得を支援してくれるコンサル会社を探している
  • テレワークに特化したセキュリティルール構築を支援してほしい

といった企業様は、ぜひ一度LRMまでご相談ください。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る