ISMS認証取得の検討から初回審査終了までの道のりまとめ
最近ISMS認証(ISO 27001:2022)の二次審査が終わり、登録を待つ身となりました。ISMS経験値ゼロの自分が取得の取り組み開始から二次審査の終了までにやったことについて、せっかくなのでまとめることにしました。
今後取得を目指している人の参考になれば幸いです。
ISMS認証取得に向けての準備
認証取得にあたって、それなりにISMSの運用経験があるなら自力でISMSの構築ができるのかもしれませんが、こちとらISMSの運用すらしたことがない身。まずコンサル選びからスタートしました。
コンサルを選ぶ
知り合いの方から教えてもらった業者や、ググって出てきた業者に声をかけ、話を聞いたうえでコンサルを決定しました。
正直、コンサルはどこでも良いと思います。どこに聞いてもISMSを取得できなかった事はないという話でしたし、審査終了までの経緯を振り返っても、どのコンサルに頼っても取れるだろうなあという印象です。
コンサルによって独自のツールを提供していたりするので構築しやすさは異なってくるかと思いますが、結局ゴールは一緒です。コンサル選びは初心者があまり悩むポイントじゃないように感じました。
審査機関を選ぶ
コンサルを選んだら、審査機関を選びます。ISMS構築も始まってない段階で選ぶの?と思いましたが、初回の認証審査日程は半年くらい前からじゃないとおさえられないらしいです。これはいくつか審査機関の話を聞きましたが、概ね同じような回答でした。
審査機関の選び方については、下記に着目して選びました。
コスト
ISMS-ACから認定を受けている審査機関かどうか
ISMSの青いロゴがあると思いますが、あれはISMS-ACから認定を受けている審査機関で審査を受け認証を取得しないと利用できません。
ISMS-ACのロゴはISMSの認証を取得しているのが一目でわかりやすく、アピールにあたって使用できたほうが良いと判断したので、条件としてロゴが使用できるのをマストにしつつ、それなりに実績のある審査機関数社の話を聞きました。
あとはその中でコスト的に安い審査機関で選びましたが、結果的に審査員の方は良い人だったので、何も問題になりませんでした。
ISMSの構築と運用
コンサルと審査機関を決めたら、ISMSの構築を行います。ISMS認証の審査とは、ISMS(情報セキュリティマネジメントシステム)が国際規格であるISO27001(日本語版は JIS Q27001)の要求事項に則ったものかを審査するので、その規格通りのISMSを構築する必要があります。
役割を決定する
手始めに、ISMS構築のための体制づくりを行いました。弊社ではとりあえず下記の形で体制を作りました。
トップマネジメント
ISMS委員会
ISMS責任者
ISMS部門担当
内部監査担当
体制に関しては会社の方針次第です。振り返ると、弊社は部門再編が定期的に発生するので、今後は部門担当という形での運用以外を模索したほうが良さそうだと思っています。
適用範囲と適用サービスを決める
ISMS委員会でISMSの適用範囲と、どのサービスで取得するかを決めました。
ISMSは会社の一部の支社や部門・サービスだけで取得することも可能です。弊社ではセキュリティ強化の狙いもあったので全社・全サービスで取得することにしました。
組織の課題を洗い出す
外部の課題と内部の課題それぞれ2、3個くらいずつ洗い出しました。自社の直近のインシデントなどから内部の課題を、顧客から依頼されたことなどから外部の課題をそれぞれ洗い出しました。
利害関係者のニーズ及び期待
利害関係者からの要求事項についてまとめました。直近で取引先などから実際にあったセキュリティに関する要求事項などがあれば洗い出しておきます。
情報セキュリティ方針をつくる
会社の経営方針・ミッションを踏まえて情報セキュリティ方針を策定しました。
情報セキュリティ方針は利害関係者がいつでも取得できなければならないと要求事項にあるので、ISMS認証を取得している企業は基本的に各社ホームページに掲載しています。これらを参考にしつつ作成しました。
情報セキュリティ目標を作る
部門担当者に部門別で情報セキュリティに関する目標を立ててもらい、二次審査前までを期限として1ヶ月ごとに状況の測定を実施しました。
目標に細かい規定はありませんが、測定できる目標が望ましいとのことでした。また、二次審査前に一旦測定を終了して振り返りを行っておく必要があります。
情報資産の洗い出し
恐らく一番手間が多い部分です。自社のもつ情報資産を洗い出しました。情報資産とは、例えば下記などが該当します。
クラウドサービス
アカウント台帳
契約書
商談の記録
自社が提供するサービス
洗い出しにあたっては細かい規定は無いのでこれも会社の方針次第ですが、契約しているサービス一つ一つを個別に資産情報として洗い出すと量が膨大になるため、ある程度ひとまとめにして扱いました。
box、GoogleDrive → クラウドデータストレージ
応募者の履歴書、従業員の履歴書、従業員の連絡先 → 人事情報
といった形です。
リスクアセスメント
情報資産を洗い出したら、それらが持つリスク、リスク対応方法、リスク対応前後のリスクレベルについてまとめました。これも結構時間がかかる作業でした。
あわせて、自社で許容できるリスクレベルについても検討しました。
情報セキュリティマニュアルと適用宣言書の作成
リスクアセスメントまで済んだら、情報セキュリティマニュアルの作成と適用宣言書の作成を行いました。書式は会社によって様々になると思いますが、弊社ではコンサルのテンプレに従って作成しました。
従業員への教育の実施
ISMS適用範囲のユーザーに自社で規定した教育を実施し、力量があることを示しました。力量とはISO27001における用語で、言葉通り「その能力がある」ことを指します。力量の証拠は保持しておく必要があります。
供給者の洗い出しとモニタリング
ISO27001では、業務委託や自社で利用しているクラウドサービスの提供企業を供給者と呼びます。供給者のリストを作成し、それらが情報セキュリティ上問題ないかどうかの判断を実施しました。
業務委託に関してはIPAが公開しているアンケートをもとにGoogleFormでアンケートを作成し回答を依頼しました。クラウドサービスの提供企業については、セキュリティに関する第三者認証(ISMS、SOC、Pマーク等)を取得しているか、取得していなければプライバシーポリシーが適切かどうかで自社独自に判定を行いました。
内部監査と是正処置計画の作成
諸々のルールを作成してISMSが構築できたら、実際に1ヶ月程度ISMSの運用を行い、ISMS通りに業務に取り組めたか、各部門とISMS委員会に対して内部監査を実施しました。
内部監査で不適合となった点は各部門に通知し、いつまで、どのように是正するかの計画を提出してもらいました。
マネジメントレビュー
内部監査後、ISMSに関するこれまでの取り組みや内部監査の結果について、トップマネジメントに報告を実施しました。
報告すべき内容についても要求事項に決められているので、それに則って報告し、然るべきアウトプットをトップマネジメントにから貰いました。
審査準備完了
マネジメントレビューまで実施すれば、二次審査までを受審できる状態となります。ISMSはPDCAを回していくスタイルで、マネジメントレビューをもってPDCAが一巡したことになります。つまり、二次審査までにPDCAを一度回しておく必要があるということです。
ひとり情シスで、コンサルのテンプレを活かしつつ、他の業務も行いながらほぼ自分一人が動く形で対応し、ここまでおおよそ6ヶ月ほど要しました。会社全体で本気でやればもっと早くできると思います。
一次審査
事前に審査機関と決めていた日程で一次審査を行いました。一次審査でやることは、ざっくりいうと書類が規格通りに揃っているかの確認でした。作成した書類と管理策の対応状況を一通り確認されました。
審査員について
まず、一次審査まで審査員がどんな人かわからなくてドキドキしていたのですが、物腰柔らかでとても良い人でした。アイスブレイクも上手でかなり話しやすかったです。
ISMS認証の審査機関の審査員に関してよくでる話で、高齢の方が来て話が通じないのでは?という懸念があるようなのですが、弊社の場合はそれなりに高齢の方でしたが最近のSaaSの話も問題なく通じました。
また、文字通り審査なのですが、粗を探そうとするのではなく、自社ではできていないと考えていることでも、既存の取り組みが規格の要求事項に適合していると判断できないか等を考えてくれました。
要求事項の確認
ISMSの要求事項として、社内外の課題の洗い出し、セキュリティ方針の策定、セキュリティルールの策定などが必要です。
いろんな事例ググってそれっぽくしたり、テンプレ通りにしていたのですが、これらが自社にフィットしているかという点はある程度突っ込んで確認されました。
要求事項に適合しているかも大切ですが、ちゃんと会社の事を理解したうえで、自社の言葉で、自社にフィットしたものを作る必要があります。
ログやマニュアルの確認
結構細かくログやマニュアルの確認をされました。管理策で〇〇のログを取る、としていればログの実物を見せてくださいと言われましたし、作業に関してマニュアルがあるかどうかも頻繁に確認されました。
審査員側から見て現物のほうが確認しやすいという理由が主だと思われますが、二次審査含めログやマニュアル等の提示を行うことでスムーズに審査が進む印象だったので、どのみち用意しておいたほうがいいと思います。
というよりは、普段から業務のマニュアルを作っておくのがISMS認証取得においては一つのキモなのかもしれません。
内部監査担当の力量
力量の点の審査で内部監査担当の教育が不十分だと判断され、必要な力量について所見をもらう形になりました。
内部監査担当の力量については、自社で資料を作って教育しました、ではなく、審査機関が実施しているセミナーを受講するなどして、第三者の認定をもらっているのが望ましいようでした。
話していた印象としては、審査機関の審査員ばりの力量があるのが望ましい、くらいの勢いでした。審査機関や審査員によって異なると思いますが。
規格原本はちゃんと買っておく
実は、一次審査まで日本語版の規格原本(JIS Q 27001)を購入しておらず、コンサルのテンプレ通りに作業したり、出版されている解説本を読んだりしてISMSを構築していました。
審査員の方は規格原本の要求事項にあっているかどうかで判断し、審査の中で規格原本の中身にも言及してくるので、手元に規格原本があるのが望ましいです。弊社は審査中にPDFを買いました・・・。
また、審査員の方が所持していた、ISO27001の手引書であるISO27002を読みながら進めていったので、ISO27002に則って管理策を策定していると良さそうでした。ただ、JIS Q 27002:2022は2024年5月現在でまだ出ていないようです。
審査員の方はISO27002:2022の日本語訳版(JIS Q 27002:2022ではない)を持っていました。
なんだかんだ2日かかる
一次審査の日程は丸2日ほどとなっていて、でもそんなに話すこと無いだろうし早く終わるだろうな、なんて思っていたのですが、結局2日まるっと使いました。
もちろん休憩はしながらですが、審査に関わる人はそのつもりでいたほうが良さそうです。
所見はでてくる
一次審査では不適合はありませんでしたが、所見はいくつか貰いました。想定内でしたし、恐らく所見ゼロは無理なんじゃないかなと思います。
所見は二次審査までに是正しておく必要があります。幸い大した所見はなかったので、粛々と対応しました。
二次審査
ISMS認証の審査は二次審査が本審査です。弊社の場合は審査員2名で審査期間は丸3日程度(6〜7人日)と、結構長丁場でした。部門別審査、要求事項及び管理策の細かい部分のチェックをメインに審査していきます。
ちなみに弊社はリモートのメンバーも多いので、ISMS委員会が審査員の方と対面し、オンラインで部門の担当者に繋いでヒアリングを行いました。
トップマネジメントへのインタビュー
オープニングで軽く審査の説明を受けた後、トップマネジメントへのインタビューが実施されました。下記のような内容でした。
ISMS取得のきっかけ
ISMS取得準備で苦労した点
実際におきたインシデントは?
マネジメントレビューで印象にあったこと、指示したこと、力を入れておきたいところ
トップマネジメントへのインタビューに関しては、審査というよりISMSに関連して代表の言葉を聞く場といった感じでした。
部門別審査
審査員の方2名のうち1名が部門別審査、もう1名が要求事項と管理策の確認という形で分かれて審査しました。自分は部門審査に同席しました。
部門審査のヒアリング内容は、対象の部門や話の流れによって多少変わりますが、概ね下記のような内容でした。
ISMSの審査を受けた経験はあるか
なければ審査の説明
業務内容についての説明
新人向けの資料などあれば資料を見せる
業務のマニュアルはあるか
どんなデータを扱うか
顧客情報はどこで管理しているか
部門の体制
メンバーとのコミュニケーションの取り方
取引先とのデータのやり取りの方法
情報漏洩や改ざんがあると事業に影響がある情報について
契約終了後のデータの削除処理について取り決めについて
インシデントの管理方法
情報セキュリティに関する目標は立てているか
業務委託について
業務委託との契約について
内部監査の指摘事項について
情報資産の管理状況
不正アクセスについて
脆弱性の情報収集方法
開発環境の構成
ソースの管理方法
システムのアクセス権
端末の暗号化
また、必要に応じて管理台帳やマニュアルなどは実際に見せてくれと言われるので、事前準備しておくとスムーズに審査が進みます。
要求事項と管理策の精査
自分はずっと部門別審査に同席していたので、要求事項と管理策の精査についてはどういった内容のやり取りがあったのかは不明です。
ただ、不適合がなく所見についても大きなものはなかった点を踏まえると、一次審査の所見をちゃんと直していれば厳しい審査ではないと思います。
クロージングミーティング
審査が終わったら、クロージングミーティングを行って二次審査終了です。審査機関によると思いますが、弊社ではその場で報告書をもらって所見の解説や審査の講評を頂きました。
審査は正直厳しくない
二次審査を終えてみての感想は、正直拍子抜けという印象です。事前に各部門と個別に対策の打ち合わせをし臨んだのですが、審査自体は和やかに進んだので、むしろ変に警戒させてしまったかなと感じています。
ただし、ある程度細かい業務の流れをちゃんと説明できるという前提はあるので、担当者のアサインはちゃんと行っておく必要はあります。
登録を待つ
不適合はなく所見のみだったので、あとは登録証の発行手続きをもってISMS認証を取得できる予定です。登録手続きが終わるまではあくまで「不適合なく二次審査が終わった」なので、この点は注意が必要です。
また、頂いた所見は次回の維持審査までに何らかの対応を行っておく必要があります。
振り返って、重要だと思ったポイント
できていたこと・できていなかったこと反省点は色々ありますが、これはおさえておいたほうが良い、と思ったポイントについて。
なぜISMS認証を取得するのか
根本の話になりますが、これを全社に認識しておいてもらうのは大切だと思いました。認証範囲の社員一人ひとりがセキュリティを意識しないと意味がありません。
ISMSの本質的な運用を目指すなら、まずここをしっかりおさえておく必要があると感じました。
トップマネジメントをちゃんと巻き込んでおく
弊社の場合はISMS委員会だけでガシガシ構築を進めて、トップマネジメントはほぼ形だけ承認してもらう体制でした。
要所要所でトップマネジメントと密に連携し、自社の保有リスクに対してどこまで対処し、どこまで受容するかの判断等をもっと時間をかけて行うべきだったと思っています。
というのも、内部監査後にルールの変更を行うことになった際、各々のリスクについて受容できるかは会社次第という案件が意外とポコポコ出てきたので。
規格原文をちゃんと買う、27002もできれば買う
前述した通り、一次審査までJIS Q 27001の規格原文を持っていませんでした。ISMSはあくまで規格に則っているかが第一なので、まず最初に規格の内容を頭に入れておくべきだったと思います。
ただ、27001だけだと正直ふわっとしたことしか書いていないので、具体的に何をすればよいかが書いてある27002、もしくは第三者の解説書も必要だと思います。
要求事項の範囲内でちゃんと自社流にする
コンサルのテンプレ通りに社内ルールを作ったらしっくり来なかった部分もあったので、あくまで自社の資産や業務フローを考慮したうえで自社流のルールを作るべきだと思いました。
やっていることだけルールとする&やっていることは証跡が取れることまで確認する
審査機関や審査員にもよるかもしれないのですが、ルールとしたことはキッチリ確認されます。ログを取ると書いてあればログを見せよと言われるし、マニュアルがあるといえばマニュアルを見せよと言われました。
やっていないことは書かないこと。やっていることは証跡等が管理できているかも含めてできているかチェックすることが大事だと思いました。
教育資料をちゃんと作る
ISMS認証は認証を取得することではなく、ISMSを運用をすることで自社と顧客の情報を守ることが目的です。ISMS取得を通してセキュリティの大切さを浸透させるためにも、形だけではなく本質的な教育資料があると良いと感じました。
内部監査担当者の教育もちゃんとやる
一次審査ではこれが一番突っ込まれました。内部監査担当者は外部監査員と同じレベルで監査できないとダメ、というくらいに。
特に、内部監査員の力量の裏付けは強く要求されました。基本的に第三者による認定がある前提みたいな感じだったので、この点は踏まえていたほうが良さそうです。
ISMSとこれから
認証登録の手続きが済んだら、弊社も晴れてISMS認証取得企業となります。ただ、これが今後うまく回っていくのかは正直不安もあります。
ISMS認証取得は売上に貢献できるのか
ISMS認証取得の目的は社内のセキュリティ体制の強化と、顧客へのセキュリティ体制のアピールが主目的です。
セキュリティを意識すると、足回りは悪くなります。この足回りの悪さを顧客へのアピール効果が上回ればいいのですが、それはまだわかりません。
形骸化させない
前述した通り、セキュリティに関するルールを守ろうとすればするほど業務効率が落ちる可能性があると思います。しかし、会社と顧客の資産を守るために必要な事をルールとしているので、形骸化させず、本質的な運用をめざしたいという気持ちもあります。
今後の継続的で本質的な運用のためにも、従業員にあらためてセキュリティに興味を持ってもらうための施策を行ってみようと考えています。
なにはともあれ、ISMS取得の経験値を積めたことは個人的にもプラスになりました。良い経験をさせてもらったと思います。
この記事が気に入ったらサポートをしてみませんか?