Blogブログ

情報セキュリティマネジメントシステム(ISMS)の認証を取得しました!(始まり編)

こんにちは!
総務の森井です。

タイトル通りなのですが、とうとうISMSの国際規格の認証を取得したのです!
道のりは長かった。。。

社長の「取ろうや」からスタートしてですね。(いつものやつですね)
まず、ISMSとは何ぞ?から始めました。

ISMSとは
ISMS: Information Security Management System)は、
組織における情報資産のセキュリティを管理するための枠組み。
情報セキュリティマネジメントとは、ISMSを策定し、実施すること。

ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにある。
(Wikipediaより抜粋)

調べてみたものの、なんのことやらです。

平たく言うと、組織としてきちんとした手順で情報資産を管理・運用していることを、第三者機関に審査してもらい認められた場合に、晴れてISMS認証企業となることができ、取引先などへの信頼の材料になりますよ、と。

ISMSの話が出た時点で、社員数7名ほど。
まだ会社設立して1年半ほどだったと思います。

しかし、ありがたいことに、その頃すでに大手企業様との取引もあり、やはりそこで必要なのは企業としての信用性なのですよね。
企業として、情報セキュリティや秘密情報の取り扱いにきちんと取り組んでいます!
とアピールするものが必要でした。

まずはどうしたらいいの?

ネットでざっと調べても、どうにも頭に入ってこないぞ・・・
とりあえず、コンサル的なところにお願いした方が良さそう、までは調べました(調べたうちに入ってへん)
しかし、お値段が!!お高い!!
どうしたもんか。

ダメ元で、いつもお世話になっている弊社の顧問弁護士・西口先生へ相談したところ、
西口先生の事務所でISMS認証取得させた経験がある先生がいらっしゃるという!
奇跡です。

ひとまず、紹介いただいた先生(佐々木先生)とのキックオフミーティングを行ったのが2021年1月でした。

(認証まで1年以上かかりましたね。)

まず最初のミーティングで

1スケジュールの確認
2費用の確認
3資産情報の洗い出し
4ルール、環境、設備を整える

上記が必要だとのことで、早速取り掛かっています。
この3と4の作業がとてつもなく面倒でしたが、そんなものは今から考えると序の口でした。
そして、現状がいかに整っていないかを再認識する機会でもありました。

認証取得目標を1年後と設定していたので、比較的ミーティングは緩やかに進めていました。
最初の方は。

(次回、怒涛の認証取得まで。)

森井

執筆者

General Affairs

森井