[1] ISMS取得までの道のり

[1] ISMS取得までの道のり

認証書を手にする鈴木禎子代表とプロジェクト責任者の緒方取締役

Joe’sのISMS認証取得プロジェクトのスタートは、約1年前にさかのぼります。当時、社内の管理体制強化の必要性を感じていた鈴木禎子代表は、様々な手法を検討する中で、ISMSの存在を知りました。ISMSを調べていく中で、当社の同業者や当社が利用しているデータセンター事業者でも取得されていることが分かり、管理体制の強化を行うだけでなく、認証取得事業者としてサービスの信頼性をアピールすることもできる、有効な方法であると考えました。

 

ISMSの取得にあたっては、鈴木禎子代表の他、最高情報責任者(CIO)に就任したばかりの緒方俊輔取締役がプロジェクト責任者を担当しました。また、特にISMSの取得要件として必須とされているわけではありませんが、初めての認証取得ということもあり、LRM株式会社( http://www.lrm.jp/ )の認証コンサルティングを受けてスタートすることになりました。

 

ISMSの認証書。苦労したからこそ喜びもひとしお

コンサルティングでは、ISMS認証取得は必ずしも難しいものではないことが分かりました。ただし、何かマニュアルの様なものがあってその通りにやれば取得できる、といった単純なものではなく、マネジメントをどの様にやるかはあくまで認証を取得する事業者が考えるものであり、当然ながら認証取得後の業務フローに深く関わってくるものであることから、ややもすれば、「認証の取得」が目的になってしまいがちではありますが、それではISMSの意義の大半が失われてしまうと考え、コンサルタントへの質問を繰り返しながら如何にうまく自社に適合させていくかを検討していきました。

 

ISMSの認証取得プロセス。一般財団法人日本情報経済社会推進協会(JIPDEC)のサイトより引用

 

先ほど「マネジメント方法は取得側が考える」ということを書きましたが、そうは言っても規格の定義であったり、過去の取得事例などから、セオリーと言える様な内容も沢山あります。分かりやすいものとして情報システムのパスワード管理を例にすると、

 

・PCには必ずパスワードをかける(これは当たり前ですが…)
・パスワードは*ヶ月ごとに変更する
・パスワードには半角英数大小文字を使い、ランダムで8文字以上にする

 

といったものです。これらのセオリーを参考にしながら、自社ではどの様な基準にするか、セオリーにあたるもので現時点で実施できていないことがないか、といったことを一つ一つ現状分析・方式検討する作業を繰り返しました。ISMS認証の取得作業のほとんどは、このフェーズの作業でしたが、Joe’sでも、効率を重視するあまりISMSの基準では不十分な管理方法になっている箇所もあり、具体的に様々な改善を行うことができました。

コンサルティングを担当したLRM株式会社のサイト「iso27001.jp」

 

最終的に、自社の「マネジメントシステム管理マニュアル」の作成が完了し、それを基にした社内システムの再構築による業務フローの刷新を行った後、認証審査を受け、無事に認証取得が完了しました。

 

ISMSの認証取得を契機に、社内にも業務フローの改善サイクルが生まれ、徐々に具体的な効果が出てきています。その効果を自社のサービス運営改善に繋げ、ユーザー様が安心してサービスをご利用いただくことができる様、これからも取り組みを続けていきたいと考えています。