人事総務による知識ゼロからのISMS認証取得

こんにちは、Synamonの望月です。先日無事プレスリリースも出せたので、知識ゼロにも関わらずプロジェクトリーダーとして約4カ月取り組んだISMS認証取得までの道のりについて書きたいと思います。

体制

Synamonは誰もISMS認証取得に関わった経験をもった人がおらず、コンサルティングの会社に依頼をして取得までサポートしていただきました。
社内での体制は、経営陣が責任者等事務局のメインを担い、私が窓口担当兼プロジェクトリーダーとして取得までの対応をメインで行いました。
私の元々の職務は、人事総務として労務や組織、管理系などバックオフィスと人事を担っていて、情シスについてはアカウント管理を少し、というレベルでした。情シス関係については、過去経歴も同程度の内容であり、エンジニアバックグラウンドもありません。そんな状態でもISMS認証取得ができたため、ISMSは大変だけど頑張れば取得できるということをここでお伝えしたいと思います。

取得までの流れ

事前準備（規格の理解と会社情報資産の整理）

ISMSの知識ゼロの状態だったため、審査が具体的になる前にまずISMSの規格を理解することから始め、社内体制等で不足しているものがあるか確認しながら改善できるようにしていきます。
まずはどんな規格なのかを知ることと、会社の情報資産とは何なのかを整理することから始めます。

審査会社決め

審査会社を決定したら申込みをします。
※当社はコンサルからの紹介で特に他社検討せず決定しましたが、会社毎の特色もあるようなので調べてみても良いと思います。

申込みの際に審査日程の希望時期を記入しますので、準備状況の兼ね合いを考え、忙しくない時期や妙なタイミングを避けて申請します。
※当社は組織体制を変更した直後に1st審査を実施するという妙なタイミングにしてしまい、事前提出書類とズレが生じ、少し混乱を招きました。

内部審査準備（書類準備と不足事項対応）

審査日程に向け準備を進めます。
元々社内体制やセキュリティ対応をきちんとされていても、ISMSのための文書類は中々事前準備していないものも多いと思いますので、足りていないものは準備していきます。

当社で準備したISMSのための文書類は全部で30個以上ありました・・・当社は、文書類はないものが多かったのでコンサルより共有いただいたテンプレートを元に内容埋めたり何かあったら記入できるように理解したりと、ISMSが求める管理について理解しながら、準備を進めました。

内部監査

（ある程度準備できた頃にコンサルに立ち会ってもらいながら）内部監査を実施しました。

当社は内部監査では大きな問題はありませんでしたが、定期実施必要な項目への対応を審査前にした方が良いということで、そちらは審査までの対応事項として出てきました。
※ISMSでは年1回～の定期実施必要な項目（例えばセキュリティ研修など）がいくつかあります。

内部監査は、社内で内部監査できる人がいるのか、実施した後の書類作成は問題ないか、社員はセキュリティルールに準拠しているかの確認です。

1st審査準備（内部監査の指摘事項と文書の再確認）

内部監査で出てきた対応事項の実施と、規程及び書類全体の理解を深めます。
当社では、審査時に聞かれたら回答・書類提示できる状態にするため、文書一覧をまとめたドキュメントの作成を実施しました。

1st審査

2日間に渡る審査をオフィスにて実施いただきました。
1st審査では、オフィスでの情報管理の環境を確認するため実地審査が必要になるようです。
オフィスのセキュリティエリアの分け方や、パソコンや書類の管理について、オフィスを回りながら確認していきました。
その後、ISMSで管理すべき書類関係を規程の内容を元に一通り確認していき、どういう時に必要になるのかやどう管理しているのか等、運用時も考えた質問がありました。
ここはISMSの事務局である経営陣にもそれぞれ回答いただき、何とか大きな問題なく2nd審査へ進むことが決まりました。

1st審査は、ISMSを運用していく準備ができているかの確認のため、文書類が大体準備できていれば指摘事項が出ても通常通過します。

1st審査指摘事項対応と2nd審査準備

1st審査で出た指摘事項についての改善は必須になるため、コンサルに内容共有し、対応方法をアドバイスいただきました。
2nd審査では、文書類は1st審査の指摘事項部分の確認がメインとなり、その他は実際に現場で業務を行っている時にどう情報セキュリティを管理し気をつけているかを確認することが主な審査内容となります。

1st審査終了後に審査員の方より、当社の規模感や組織体制より、案件○個とコーポレート部門の業務とを審査するというお話をいただきましたので、そちらに合わせて2nd審査で提示する案件の絞り込みを行いました。
審査時に案件についてスタートからエンドまでどんな進め方をしているのか確認するというお話をいただいていたので、絞り込んだ案件について、担当者に詳細情報を準備してもらうよう依頼し、審査に挑めるよう各自準備してもらいました。
（どういう始まりで、どういう座組で、どういう要件なのか、見積や契約内容、スケジュールは、そして出来上がったものの確認してもらい納品完了となったのか）

2nd審査

4日間に渡る審査を実施していただきました。
各案件1〜2時間ずつ程審査のためのヒアリングをBizDevと開発側1名ずつの2名程度の体制で臨みました。
準備外のものもありすぐに書面を出せなかったものもありましたが、休憩時間や翌日対応で問題なく提示できたこともあり、指摘事項なく終了しました。
コーポレート側は、私含めISMSの事務局が対応可能だったため、聞かれそうな書類などをすぐ出せるように準備し、問題なく乗り切れました。

2nd審査については、ISMS事務局より案件担当者の方々やシステム管理者の方々の方が事前準備含め対応大変だったと思います。

2nd審査は、ISMSの規程に則って現場が業務を行っているかを対象範囲にあたる部門・部署毎に審査されます。
どの部門・部署でも、業務内での情報セキュリティに関わる部分への意識やルールの認識を確認されます。

認証取得

対応した方々の準備と日々の意識が高かったことにより、2nd審査にて指摘事項が出ず、そのまま審査員から審査会社に推薦していただき、2週間ほどで取得できました！
無事登録証も届き、先日プレスリリースも出せました。

運用

取得までも知識ほぼゼロベースからインプットしてガリガリ準備して審査受けてと突き進んできましたが、運用も中々大変です。
取得にあたり、セキュリティについて社内に繰り返し研修や説明会や社内報など、様々取り組みをしながら浸透させておりますが、事務局側では定期的に実施すべきことが多々あり、取り零しを起こしそうであり、何かルールを変えた際には文書類の変更も出てくる可能性があるため、文書類の管理も大変です。これらを乗り切れるよう現在運用のためにサービス利用を検討したり、ISMSのルーティンを他作業に組み込んだりしております。

ISMS認証取得プロジェクトを通して

始めは、ISMSは名前はわかるけど中身さっぱりだけど大変だと聞くぞ！というレベルから、審査日程決まったらもう後には引けないという状態でとにかくやるだけだと、ガリガリインプットを進め、審査準備を徹底しました。

知識ほぼゼロから取り組んでみて感じたのは、大変は大変だけど周りの協力があれば何とかなるタイプのものだということです。
バックオフィスの方でエンジニアバックグラウンドないよという方でも、ISMSについてはどちらかというと、労務や法務のようなルールがある中でどう自社に合った形にしていくかを考えるものですので、問題なく取り組めます。
会社にとって必要なものであり、とにかく取得する！という強い気持ちと、周りの協力を得られるように働きかけることが大事だと思います。

最後に

知識ほぼゼロからISMS認証取得は、中々ハードではありましたが、新しいことへのチャレンジは楽しかったですし、普段あまり関わらない方々とも審査準備を通して交流でき、その方々の業務も詳しく知る機会ができて良かったと思います。
ISMSは社内体制などがメインとなっていますが、企業様からいただくセキュリティチェックシートではISMSの規程にはあまり載っていないサーバー等についても回答が必要なため、今後ISMS含む情シス関係に携わっていくにあたり、サーバー関係やセキュリティサービスなどについても知見を深めていき、リスク管理もきちんと理解・対応できるようにしていければと思っています。

ここまで読んでいただきありがとうございました。
情シス片足突っ込んだばかりなので、まだまだわからないことも多いですが、ISMS認証取得を検討されていて進め方など詳しく知りたいという方は、ぜひご連絡ください。
私も情シスまだまだなので、色んな方と交流できると嬉しいです。