ISMS認証を取得した後に何をすべきか?
ISMSオートメーションツール「SecureNavi」を提供する、SecureNavi株式会社の井崎です。
今回は、ISMS認証を取得した後、つまり「ISMS運用」のフェーズで行うべき取り組みについてご紹介します。ご存じの方も多いと思いますが、ISMS認証は、取得すれば終わりではなく、年に1回の定期的な審査を受審し続ける必要があります。また、ISMSの目的は、審査に合格することだけではなく、それをきっかけとして情報セキュリティレベルを向上させていくことにもあります。そのため、ISMS認証取得だけで安心せず、継続的な運用を行っていく必要があります。
では、実際にISMS認証取得後に、どのようなことをやらないといけないのか、大きく4つのカテゴリにわけてご紹介します。
便宜上、ISMS認証取得前を「構築フェーズ」、ISMS認証取得後を「運用フェーズ」とします(厳密には、認証取得前でも運用は行うので、ちょっと違和感がある定義ではありますがご了承ください...)。
1. 新規取得でやったことをもう一度繰り返す
構築フェーズで取り組んだ項目を、運用フェーズでも、繰り返し実施する必要があります。とはいっても、構築フェーズにおいて実施した記録があるため、作業工数としては、半分以下になることがほとんどです。
具体的には、以下のような取り組みを、運用フェーズでも継続的に実施します。
・情報資産の洗い出しを、もう一度実施する(見直す)
・リスクアセスメントを、もう一度実施する(見直す)
・情報セキュリティ教育を、もう一度実施する
・内部監査を、もう一度実施する
・マネジメントレビューを、もう一度実施する
これらの取り組みを、定期的に繰り返し実施しないと、ISMSが本来のパフォーマンスを発揮できません。結果として、情報セキュリティ事故の発生に結びついてしまいます。
ISMSを適切に運用し、ISMSが持つ本来のパフォーマンス(セキュリティレベルの低減)を発揮できるように、これらの取り組みを定期的に実施していきましょう。
2. リスク対応を実施する
ISMSの構築フェーズでは、社内のリスクを洗い出す「リスクアセスメント」を実施し、その結果をもとに、自社で行うべきリスク対策(リスク対応)を決定したと思います。
これらのリスク対応がまだ完了していない場合は、完了させるための取り組みを行う必要があります。
システム導入系のリスク対応(例えば「入退室管理システムを導入する」であるとか「エンドポイントセキュリティシステムを導入する」といったリスク対応)は、期限が長くなりがちで、構築フェーズでは終わらない事が多くあります。構築フェーズでやり切れなかったリスク対応は、運用フェーズできちんとやり切る事が重要です。
3. 是正処置を実施する
内部監査や外部審査において、監査員から指摘された内容は、ISMS構築フェーズでは「是正処置報告書」のようなフォーマットに取りまとめているケースが多いでしょう。その中に、是正処置(再発防止)の実施や、是正処置の有効性確認の実施について記載している場合は、それらを実施することも必要です。
例えば、内部監査において「退職者のアカウントが残り続けている」という指摘があった場合、構築フェーズでは、それらを是正するための処置(再発防止策)を計画しますが、運用フェーズでは、その再発防止策を仕組み化し、やりきることが重要です。
内部監査や外部審査での指摘は改善の宝庫です。客観的な視点から、自社の情報セキュリティに対してアドバイスを頂いているにもかかわらず、それらをないがしろにしてしまうのは宝の持ち腐れです。きちんと是正処置(再発防止策)を決定し、運用フェーズで確実に仕組み化し、セキュリティレベルを向上させていきましょう。
4. 定期的な監視・測定を実施する
ISMS構築フェーズでは、「定期的に〜〜する」といった、定期実行系ルールを定めることがあります。例えば「定期的にバックアップを取得する」「定期的に不審なログがないかどうかを確認する」などです。
これらの「定期的に〜〜する」というルールを決めた以上、実際にこれらの取り組みを、定期的に実施する必要があります。実際は、タスク管理ツールなどを利用してスケジューリングし、実施されるケースが多いです。
さいごに
以上、4つの観点から、運用フェーズで行うべきISMSの取り組みについてご紹介しました。実際は、上記以外の突然な内容、例えば、インシデントが発生したときの対応や、入退社が発生したときの対応などもありますので、これらのイベントにも対応していくことが必要です。ISMSを形骸化させないためにも、こまめに取り組みを実施していきましょう!
---
弊社では、ISMSオートメーションツール「SecureNavi」を提供しています!
誰でも簡単にISMSを構築し、認証取得・ISMS運用が可能です。
ISMS認証取得について相談したい方はお気軽にご連絡ください!
この記事が気に入ったらサポートをしてみませんか?