情報セキュリティマネジメントシステム(ISMS)構築のお手伝いをしています。どのようなお手伝いかというと、ISO9000とか14000と同様に、情報セキュリティの要求規格であるISO27001に適合しているかの審査を受けて、ISMS認証を取得するまでをサポートしています。
支援内容及び実施プロセスは
- ISO27001要求事項をご説明し、理解していただく
- 情報セキュリティ基本方針書を作成支援する
- 各部門ごとに情報資産をピックアップしてもらい、情報資産台帳の作成を支援する
- 情報資産に対するリスク分析をサポートする
- どのようなリスク対策を実施するかについてアドバイスする
- 実施することにしたリスク対策を盛り込んだ管理マニュアル作成を支援する
- 管理マニュアルと連動して使用する様式類の雛形を提供し、カスタマイズをアドバイスする
- 年間の運用計画の策定を支援する
- 情報セキュリティ教育の実施をサポートする
- 運用状況の監査の実施をサポートする
- 適切な審査機関をご紹介する
- 審査機関の審査指摘事項に対する対応策をアドバイスする
などとなっています。
一番時間がかかるのが、3?5あたりでしょうか。「情報資産」とは何かの議論からスタートして、どこまで情報資産として特定するのか、それに対するリスクをどのように認識するのか、リスクに対する対応策をどこまで実施したらよいのか、議論のタネは尽きません。
もちろん予定されたプロジェクト期間内に認証を取得していただく必要があり、必ずしも十分な時間が取れないのも現実です。
さらに、ちいさな会社で、余剰人員がいらっしゃるところはありません。どこでも、社員さんは現業の業務で手一杯。そこへ社長からプロジェクトチームへの参加を命じられて、聞いたこともないような規格を読み、理解しなければならないので、メンバーの方の負荷は非常に大きいものがあります。
いかに効率的にメンバーの方にアウトプットをしていただくかが、コンサルタントの腕の見せ所でしょうか。
しかし、こうした取組みが、その会社の情報資産に対する認識力を高め、管理能力全般を大きくアップするのも事実です。
会社の様々な業務の中には、本来決めるべき事柄がはっきり決まっておらず、あるいは、やめるべきリスクの高い行為が慣行として続いていたりする場合が多いのではありませんか。ついつい惰性で続けていて、なかなか見直すきっかけがない。
このような状況にある会社にとって、情報セキュリティマネジメントシステムの構築に取り組むことは、セキュリティとは直接関係ない会社全体の業務についても、プロセスアプローチといわれるPDCAサイクルを導入するきっかけとなります。
また、情報セキュリティ対策に「正解」はなく、企業としてリスクをどのようにマネジメントするかが問われるわけですから、プロジェクトメンバーは経営者視点で考えることが求められます。コンサルタントのアドバイスを受けながら、リスクマネジメントについてしっかり学ぶ事ができるので、管理能力が大きく向上します。
ISMSの認証が必須の業種もありますが、そうでない業種でも、情報セキュリティマネジメントシステムの導入を上記のような会社全般のマネジメント能力向上や会社のコアメンバーの管理能力向上のツールとして活用することも出来ます。
外部第三者機関の認定を受けることで、企業価値も高まります。
「情報」は経営資源そのものですので、そのマネジメントレベルを高める意義はとても大きいです。企業力アップにつながります。
ちいさな会社でも認証取得は可能ですので、企業力アップのために、ISMS認証取得を検討されてはいかがでしょうか。
