あなたの勤めている会社では、ISMSを導入されていますか?
「あれ、面倒くさいんだよねー!」というご意見もあれば、
「アイエスエムエス?なにそれ美味しいの?」
と、ピンとこない方も多いかもしれません。
最近の企業ホームページは、
「セキュリティポリシー」または「情報セキュリティ基本方針」
というページが用意されている事も多くなりました。
そこに書かれている内容こそが、まさに”ISMS”について書かれている事なのです。
今回はISMSについて、ちょっと深堀りしてみたいと思います。
ISMS(アイエスエムエス)って何?
ISMS(情報セキュリティマネジメントシステム)とは、
企業が取り扱う情報をしっかり管理するための取り組みのことです。
最近はIT技術を活用したデジタルデータでの管理がほとんどですが、
デジタルデータには、コピーや改ざん、削除が簡単に出来る弱点を持っています。
もし、悪意ある人が企業の管理する顧客データを盗んでコピーし、
ばら撒いてしまったとしたら・・・?
もし、悪意ある人が企業の売り上げデータを盗んで金額を改ざんして、
何食わぬ顔をしていたら・・・?
ターゲットになった企業の被害は、膨大な規模と金額になります。
何より信用もガタ落ちとなるでしょう。
また、地震や火事で、売上請求データを管理しているサーバが破損してしまったら、
その後の費用回収はどうなるでしょうか?
自然現象だからと言って、回収するはずだった売上額を、
政府が保証してくれるわけではありません。
もしかしたら必要経費が払えなくなって、最悪倒産してしまうかもしれません。
企業がこの様な被害から身を守るために、
常日頃から行う活動全般を指して、ISMSと呼んでいます。
ISMS(アイエスエムエス)の取得メリットとデメリットは?
企業がISMS活動を適切に行っていますよ、
という指標として「ISMS適合性評価制度」というものがあります。
この評価制度で「合格」を貰えた企業は、
晴れて「ISMS認証取得組織」として名乗ることが出来ます。
企業がISMSを取得するメリットとしては、以下が挙げられます。
・対外的に「ISMS活動を行っている=適切に情報を管理できる企業」としてアピールできる
・信用UP → セキュリティ管理が必要な仕事を発注してもらえる可能性が広がる
・企業が管理する情報をより安全に保持し、取り扱う事が出来るようになる
企業としてセキュリティの向上に取り組んでいる、というアピールは
信用を得るきっかけにもなります。
仕事の幅がより広がるので、会社の運営にも一役買うことになりますね。
逆にISMSを取得するデメリットとしては、以下が挙げられます。
・取得してから1年に1回、認定証を更新するための監査を受けなければならない
・万が一認定を更新出来なかったら、企業の信用が落ちる
・セキュリティに対する社員1人1人の意識を高め、維持する活動を行うための作業工数が余分に生じる
ISMSを意識した言動は、毎日の業務から考慮すべき事項です。
現場としては作業工程に融通が利きづらくなり
導入前と比べて、窮屈に感じる社員がでてくるかもしれません。
実際、かなり手間が増えます。
社内教育を充実させて、社員全員にISMSの必要性を納得してもらい、
根気強く理解と協力を得る必要があります。
ISMS(アイエスエムエス)取得企業への要求事項とは?
さて、いざISMSを取得しようと思った時、企業として必要なものは何でしょうか?
ISMSの要求事項は、世界標準として
ISO 27001
という基準があり、
この企画は、情報セキュリティマネジメントシステムの国際規格を策定している
ISO(国際標準化機構)とIEC(国際電気標準会議)が設置する
合同専門委員会において決められ、数年毎に改訂作業が行われています。
これを日本語に訳し、日本向けに改定したのが
JIS Q 27001
という規格です。
2018年8月時点での最新規格は、
JIS Q 27001:2014
です。
毎年の更新時には都度、要求事項の最新版に対応していることが求められます。
そして肝心の要求事項の内容ですが、
ISO 27001にはたくさんの要項が示されているのですが
例えば「リスクアセスメント」という項目では、以下について要求されています。
・リスク受容基準、アセスメント(評価)基準を決定すること
・リスクを特定すること
・リスクを分析すること
・リスクを評価すること
ここでの「リスク」とは、企業の情報を漏らした・失くしたことに伴う損害を指します。
この「リスク」を無くすための対策を取っていますか?
という事を問われる訳です。
これらの要件事項を実際に行う内容は企業に委ねられていますが、
特に重要視されているのが
「PDCAサイクルを回して継続的改善をし続けること」です。
「ピーデーシ―エー?なにそれ甘酸っぱいの?」
いいえ、PDCAサイクルとは、
P:Plan(計画)
D:Do(実行)
C:Check(評価)
A:Action(改善)
のことです。
リスクを無くすための計画を策定し、実行結果の評価を踏まえ、
改善に向けて再び計画を練るということです。
これらを第3者が明確に把握できる文書を用意することが、
ISMS対策への第1歩となります。
ISMS(アイエスエムエス)って何? おわりに
ISMSを日々の業務に取り入れるためには、
数々の文書を残さなくてはいけないこともあり、
現場としては「面倒だなあ」と思ってしまうのも仕方が無いところ。
しかしPDCAサイクルを見ればお気づきかと思いますが、
実はISMS対策を行う事で、企業のセキュリティ対策だけに留まらず、
日々の業務を効率良く行うための対策にもなっていることが判るかと思います。
このため、ISMS活動を行う事は、同時に現場の仕事を守る事にも繋がっているのです。
あなたの勤めている企業がISMS対策を行っているか、
今一度確かめてみてはいかがでしょうか。
そして、もし、まだ活動を行っていないとしたら、
現場から静かに沸き起こるの熱いブーイングにめげず、
長い目で活動していくことを推薦してみましょう。
あなたがもしまた個人事業主だったとしても、
ISMS対策は現在の業務改善にも役立ちますよ。
セキュリティ対策を万全にして、顧客だけでなく、
世間、社会からの信用を得て仕事していきましょう!
最後までお読みいただきありがとうございました。
