見出し画像

ISMS・PMSのドキュメント群をNotionで管理している話

はじめまして!フラジェリンの阿部と申します。
この記事では、これから情報セキュリティ認証の取得に着手する方、現状のISMS・PMS運用方法に悩んでいる方向けに、フラジェリンの運用事例をご紹介します。

はじめに

フラジェリンでは2021年12月にISMS認証を取得しました。私はCISSPという情報セキュリティマネジメントの資格を保有していることもあり、日々の業務の傍らで、この認証取得プロジェクトをリードしていました。

マネジメントシステムの重厚なドキュメント群は、Word・Excel、GoogleDocs・スプシで管理することが一般的です。ソフトウェアエンジニア主導の場合は「Gitで運用している」といった話を聞くこともあります。
フラジェリンでは、今回のISMS認証取得にあたり全てNotionで管理することにしました。今回はその経緯やNotion管理のいいところをご紹介します。

ISMS認証を取得した理由

フラジェリンは大企業向けにVertical SaaSを提供しているスタートアップです。ISMS認証取得の目的は大まかに2つありました。

・既存ユーザーにより安心してサービスを使って頂くこと
・これから導入頂くお客様の社内稟議をスムーズに進めること

情報セキュリティの第三者認証を取得することは、エンプラ領域のプロダクトにとってセキュリティのベースラインと言えます。

開発・運用プロセスにおいて堅牢なセキュリティを施していても、第三者認証がなければ導入検討企業のセキュリティ部門からストップがかかることが往々にしてあります。一度懸念の声があがると、払拭するのにそれなりの説得材料を用意する必要があり、導入を牽引してくださるキーパーソンの手を煩わせてしまうということもあります。

余談ですが、1年前までメンバー3人、オフィスは三茶のマンションの1室という極小零細スタートアップでしたが、当時既に従業員1000人以上の上場企業2社に導入頂いていました。CEOの阪本の経験に基づいたエンプラセールスの要諦をまとめた記事を公開しています。関心のある方は下記よりどうぞ。

GoogleDriveでのドキュメント管理はつらい

2019年4月、プロダクトローンチに先駆けてPMSを構築し、プライバシーマークを取得しました。各種規定や記録系のドキュメント計20ほどをGoogleDocs・スプシで管理し、種別・年度でフォルダをわけていました。

GoogleDriveでフォルダ・ファイルをたどって1つ1つを開いてく作業は結構な手間です。担当者以外の構造把握が難しくなりがちで、審査時にもファイルを開くのにもたつくという問題もありました。

Git vs Notion

マイナーアップデートを継続する規約系の文書はGitと相性がよく、マネジメントシステムの規約文書をGit管理している会社もあります。ただ、ISMS・PMSのテーブル形式でログを残す記録系ドキュメントはスプシで管理せざるを得ず、情報を一箇所に集約することができません。

「リンクを貼ればいいじゃん」という話もありますが、年度を跨ぐ度に新しいファイルを作成するので、リンクの張替え作業が発生したり、あとから入ったメンバーにアクセス権を付与し直したり。。そういった面倒な作業を回避しつつ情報を集約する目的で、Notionでの運用を選択しました。

ISMS取得準備にあわせてPMSもNotionへ

PMSとISMSの認証範囲は部分的に重複しています。今回の取得準備においてドキュメントを統合しました。
ISMS準備&PMS統合に際して、情報セキュリティコンサルティングのLRM株式会社に支援頂きました。LRM担当者の方にNotionの特定Workspaceのアクセス権限を付与し、一緒に作業する体制です。

[社外共有]ISMS・PMS 2022-02-24 11-25-34

LRM担当者の方には、ISMSのドラフトをNotionに起こしてもらいつつ、GoogleDocs・スプシに散在するPMSの情報をNotionの該当ページにマージしてもらいました。Notionには馴染みがなかったようで最初は苦労されていましたが、スピーディーにキャッチアップして頂き、DB・ページ間の相互リンクなどを駆使して理想の構造に仕上げてもらいました。

Notion管理のいいところ

1. ドキュメントの更新者・最終改定日時を自動更新できる
ドキュメント群のトップページとして、Notionのデータベースで文書管理台帳を作成しました。レコードの詳細ページに各文書の中身を格納しています。

スクリーンショット 2022-02-24 12.11.23

中身を修正すると、更新者・最終改定日時が自動で更新されるようになっています。マネジメントシステム運用業務に携わったことのある方はわかると思いますが、誰がいつ更新したかを残すことは非常に重要で、審査時にも細かくチェックされるポイントです。承認日時は手動で更新する必要がありますが、これだけでもひと手間減らすことができます。

2. 一元管理しつつISMS・PMSそれぞれの審査用のビューを切り替えられる
Notionのデータベースでは複数のビューを設定可能で、ビューごとにフィルタやソート、カラムの並び順・表示/非表示を指定できます。

上記の文書管理台帳では、1つのデータベースにISMSとPMS両方のドキュメントを格納しています。ISMS審査時には全体を、PMS審査時にはそれ用のビューに切り替えて、審査員と一緒にドキュメントを確認することができます。次の画像はPMS審査用のビューです。

スクリーンショット 2022-02-24 17.23.14

ドキュメントの二重管理を避けつつ、簡単に審査用のドキュメントを一覧できる機能は非常に便利です。

3. ページ間の相互リンクによりルールの浸透を促進できる
情報セキュリティマネジメントで定めたルールは様々な業務に影響を及ぼします。例えば、フラジェリンの情報セキュリティマニュアルでは「人的資源のセキュリティ」の章でHRチームの管理する入社時チェックリストに言及しています。

文書管理台帳 2022-02-24 17-38-56

フラジェリンではストック型の情報をすべてNotionに集約しており、HRチームの入社時チェックリストもNotion上に存在しています。上記画像の赤枠を押下すると、HRチーム管理下の入社時チェックリストのページに遷移します。逆に入社時チェックリストからこの情報セキュリティマニュアルに遷移することも可能です。

この相互リンク機能により、各チームが運用するページがISMSのどのルールに基づいているのか明示することができます。情シス以外のチームでもベースとなるルールを認識して日々の業務を運用することができるので、この機能は非常に有用です。

4. 審査時にスピーディにドキュメントを提示することができる
マネジメントシステム審査では審査員の求めに応じて様々なドキュメントを行き来します。前述のNotionの相互リンクを駆使して、文書管理台帳の各ドキュメントから関連のあるページに事前に相互リンクをはっておくことで、スピーディにドキュメントに遷移することができます。またGoogleDriveでのファイル表示に比べて、Notionでのページ表示速度は格段に早いです。

審査をスピーディに進められた点は、ISMSの審査員にも高い評価を受けました。

おわりに

Notionでのメリットはまだまだ挙げたりないところではありますが、かなりボリューミーになるのでこの程度で留めておきます。スタートアップでこれからISMS・PMSに着手する方、現状の運用方法に悩んでいる方がいらっしゃれば、カジュアルにご連絡ください。ぜひ情報交換しましょう。

最後に宣伝です。フラジェリンではエンジニア・セールスなど多角的にメンバーを募集しています。興味を持っていただいた方がいらっしゃれば、ぜひ採用情報を覗いてみてください。

最後まで読んでくださりありがとうございました!


この記事が気に入ったらサポートをしてみませんか?