IICのISMSへの取り組み
ISMSとは、Information Security Management System(情報セキュリティマネージメントシステム)の略で、組織として情報の機密性・完全性・可用性を維持し、改善を行うための情報セキュリティを管理する仕組みです。IICでは、伊藤忠商事と共同で、ISO27001というISMSの要求事項を定めた国際規格の認証を取得しています。
初回認証登録は2004年3月で約20年間、取り組んできました。
■ISMS認証を取得する意味
まずは、情報セキュリティに関する要件を満たしている企業として、取引先へ信頼性をアピールできます。正式な認証機関による客観的な評価を受けていることによって、顧客や取引先に安心感を持ってもらえるのがメリットです。特に個人情報を扱うような案件においては、仕事を委託する基準にひとつになります。
合わせて、認証を取得するために、情報セキュリティの方針を立てたり、従業員に対する教育を実施することによって、社内のセキュリティに対する意識が高まることが期待できます。
■IICのISMSへの取り組み
主な活動内容としては、組織毎に情報セキュリティを達成するための目標を設定するとともに、取り扱っている情報資産の洗い出しやリスクの把握、情報セキュリティに関連する業務フローの確認、外部サービス、委託先の確認と評価等を行っており、その他、従業員全員に対する年に1度の定期教育や入社毎の教育とテスト、標準型攻撃メール訓練等、あらゆる角度から取り組んでいます。
・ISMS委員会(年4回)
・入社時教育(派遣・業務委託も含む)
・手続書、運用ルール等の見直し
・是正処置確認(4~11月)
・リスク対応検討会(6月、11月)
・定期教育(8月)
・BCP 整備手順のテストと見直し(9月)
・外部サービス定期再評価・外部委託先評価(9月)
・内部監査(12月)
・マネジメントレビュー(1月)
・外部審査(2月)
・標的型攻撃メール訓練(?月)
■外部審査
そういった活動の中で、ISMSが適切に運用されているか、認証の維持が可能かどうか、1年に一回審査を受けており、先日、外部審査によるISMS継続審査が行なわれました。ここ2年間は、リモートによる審査でしたが、今回は審査員の方にご来社いただき、久しぶりの対面での審査になるということで、去年とは違った緊張感のある審査となりました。
結果としては、審査に参加した各組織のみなさんの協力のもと、3日間にわたる審査を滞りなく行うことができまして、「規格の要求事項及び組織の規定に適合し、有効に運用されている。」との評価で、特に不適合となる指摘はなく、無事、継続をご確認いただきました。
■ISO27001規格改訂
ISMS(情報セキュリティを管理する仕組み)についての国際的なルールを定めた規格が「ISO27001」です。
この規格が2022年10月25日に改訂されました。2025年10月31日までに新たな規格に対応した仕組み作りと運用に移行しなければならないため、来年度は新規格に対応した運用ルールの構築や管理策の策定、関連文書の見直し等々、いろいろと準備する必要があります。
今後もこの規格改訂への対応も含め、ISMS事務局を中心に従業員のみなさまにもご協力をいただきながら、引き続きさまざまな活動を行い、顧客のみなさまに安心してお任せいただけるよう、情報セキュリティ向上を推進してまいります。