ISMSを取得したときのお話

このnoteは、企業でISMSというセキュリティの資格を取得する流れを記載しています。

ISMSは、Information Security Management System の略で、日本語では、
情報セキュリティマネジメントシステム　というそうです。
WiKiはこちらです。

IPOを目指すにあたり、証券会社などの審査を通過するために、ISMSを取得できてしまっていたほうが、わかりやすく審査を突破できるのでは、という方向性になったようで、取得を目指しました。

実作業は、同じ時期に社内IT担当者として入社した方がメイン担当者となり、僕はサブとして、2019年5月から開始して12月に取得となりました。
ISMSISO 27001　という規格です。
価格についてですが、ISMS取得をサポートしてくれるコンサル会社に、80万円支払い、審査対応料が110万円でしたので、200万円とある程度、一般的な、社内IT管理が整っている状況であれば、人件費（IT担当者、各現場の担当者の方ふくめて200時間くらいのイメージ）で取得できるのではないか、と思います。

プライバシーマーク（Pマーク）の更新対応を実施したことがあったのですが、Pマークの個人情報だけで、ISMSは、個人情報にプラスして、事業継続していくうえで、システム上のリスクがないか（可用性というらしいです）が、監査される、ということのようでした。

ISMS取得に向けて準備する内容

開始時点で善人の方が、コンサルしてくれる会社と契約していたので、
その外部の方から、各種、必須の資料のひな型をもらい、ミーティングをしながら、会社にマッチする内容にしていきました。

・情報セキュリティ方針 【全員向け（社内外）】
多くの企業のコーポレートサイトに、記載されているもので、「弊社はセキュリティポリシーを策定して、定期的に社内を評価、見直ししています」と宣言するものです。

・MSマニュアル　【主に役員、ISMS事務局向け】
情報セキュリティマネジメントシステム(ISMS)の運用方法を定めたマニュアルで、年間実施項目管理表のスケジュール通り、各担当者（情報セキュリティ管理者 / 担当者 / 内部監査員 / 従業員）が、実施していきます、といった内容が記載されているもの。

・セキュリティマニュアル　【主にHR経理などコーポレート部門、開発G、インフラG、マネージャー以上向け】
新規委託先を選定、契約する際（および年1回）は、先方のセキュリティレベルを確認のため、当社作成の委託先チェックリストの回答をもらう、など
部署の管理者が実施するべき内容が記載されたもの。

・セキュリティハンドブック【全員向け（社内）】
全従業者が実施すべき情報セキュリティに関するルールが記載されたハンドブックで、スクリーンセイバーの設定をする、私物PCは業務で使用しない、個人のSNSに、非公開情報を投稿してはいけない、などといった内容が書かれているもの。

準備するうえで、重たい作業は、弊社内で保管しているユーザー様の個人情報や社員の個人情報、秘匿としている情報を渡している業者さんの外部委託先管理シートを整えることだったと思います。

あとは、セキュリティに関する全社教育が必要なので、e-ラーニングの仕組みなどを使って、全員回答してくれるまで催促しまくる、といったところでしょうか。

また、審査当日に、代表者のインタビューがあり、代表取締役か、情シスに関わる管掌役員のインタビューが必要になるので、その方に、ある程度、ちゃんと、ISMSについて理解してもらう必要があります。

・どうしてISMSを取得しようと思ったのか、いままで、情報漏洩のインシデントが発生してヒヤリとしたことはあるか、などのその場しのぎで、なんとかなる質問もあれば、

・業界の動向を踏まえて、あなたが情報セキュリティ担当者に指示して、対策した項目はありますか。

・どのようなリスクがあると感じており、セキュリティの責任者として、担当にどのような是正指示を出しましたか。

・全従業員のセキュリティ教育は、どのように実施しましたか。
など、実際に、セキュリティ対策の当事者として携わっていないと返答できない質問もあるので、代表に当事者になってもらうことが重要です。

コンサルに入ってもらっていれば、このあたりは事前に相当問答集をもらって、ロールプレイなどしておくことも可能です。

ISMS審査内容

1次審査が、10月に1日、2次審査が11月に2日間あり、審査員の方に聞かれる内容を、回答していきました。

アナログな、執務エリアの朝の開ける作業、施錠作業などから、各コンテンツや、コーポレートサイトには、どのようなリスクがあり、どのような対策が練られているか、リスク管理表と照らし合わせながら、各担当が答えていきました。
1番チェックされる部分は、お客様の個人情報や、会社として秘匿情報（漏洩したら存続の危機になると分類している情報）の管理方法でした。
審査で、重たかった内容としては、「個人情報や秘匿情報の受け渡しが発生している、協力会社との契約書とNDAみせてください」という内容で、サンプルで、この会社の契約書とNDAは、どこにありますか、と聞かれたときに、契約書のPDF化は実施しておらず、探すのに苦労しました。

（一部、取り交わしされずに反社チェック⇒経費システムへの取り込みだけで、取引開始になっている企業があり今後の対策が必要でした）

そのほか、審査員が、実際に業務している従業員に対して、ランダムにインタビューしていく、という項目がありました。

以下のような内容の受け答えになりました。

■ISMSのルールとして日々守るべきマニュアルはどこに掲載されているか知ってますか？
⇒どこどこにあります。

■日々利用するデータどこに保管してますか？
⇒グーグルドライブです。

■日常業務する上で、データのやりとりはどんな方としますか？
⇒外注さんとやりとりあります。

■どんなシステムで、外注さんとデータやりとりをしますか？
⇒グーグルドライブや、Slackや、一部クラウドストレージです。

■情報セキュリティについて周知される機会ってありますか？
⇒全社会で機密情報なので漏らさないように、と徹底していたり、自分のチーム内では会議の際、きをつけてます。

■そのほか気を付けていることとかありますか。
⇒SNSに書き込まないとかですかね。

などといった内容でした。
全体を通して、特に大きな問題を指摘されることもなく終わりましたが、
アプリ作成に関わる、各種データ（主に秘匿情報としているアプリの動画・画像データ）をフリーのサービスで、各コンテンツ担当者が、外部に受け渡している、ということが監査の最中に見つかり、「秘匿をフリーでいいのか」というところが指摘されてしまったのが、運営する側として、ちょっとダサかったです。

あとは、弊社は、帰宅時にノートPCは机に出しっぱなしでもよい、（HDDの暗号化は実施しています）
袖机の鍵も、特に日々かけなくてもよい、というルールにしているのですが、しまって鍵をかけて帰るがやはり一般的のようで、再考したらどうですか、という内容でした。建前上は、清掃の業者の方が、執務エリアに入るので、盗まれないように、ということですが、盗難リスクまで考えるのかは、なかなか難しいですね。

いままで情シスで10年ほど働いてきて、社内のPCが、何者かに盗難された、ということはないので、外部への持出時の対策のみでもよい気がしました。
認証が終わったあとも、年次の審査が発生します。

ISMS認証取得後の年間スケジュール

①組織を取り巻く課題の見直し
⇒事業に特化した何か課題が発生しているのか、を確認する。

②利害関係者と要求事項の見直し

⇒NDAのまき直しの必要性有無など。

③法令等の見直し
⇒法令等管理台帳に追加する法律が制定されていないか。

④方針の見直し
情報セキュリティ方針を更新する必要があるか。

⑤目標の決定
⇒最初の目標は、ISMSを取得する、でよかったのですが、追加のセキュリティ対策を具体的に決めておけばよさそうです。

⑥教育

⇒全社員にむけたセキュリティ研修が年1回は最低必要です。

⑦情報資産の特定・見直し
情報資産管理台帳を更新します。

⑧リスクアセスメントの実施・見直し
リスク管理表（各事業でリスクが増えていないか）を更新します。

⑨事業継続試験の実施
BCP試験実施記録をします。

⑩委託先管理
秘匿情報を渡している委託先にセキュリティに関するチェックリストを返送いただきます。

⑪次年度の年間実施項目管理表の作成
締め日は任意で決定すればOK。

⑫内部監査
監査計画書、監査報告書を残す。

⑬マネジメントレビュー
マネジメントレビュー記録を残す。

⑭審査機関による審査

⇒年一回。

まとめ

ITで制御できるセキュリティ対策や運用は、ISMS取得である程度できたのかと思います。

悪意のある情報漏洩が発生しないよう、団結力がある会社になっていけるとよいです。