情シスの管理しやすいISMSを目指す

ごきげんよう🌸
株式会社ROXXの情シス担当@bboobbaaです！

株式会社ROXXではCTO室に所属し、ひとり情シスとして現在活動しています。情シスのメイン業務の1つにISMS運用業務がありました。
ISMSを運用してきた中で私が重要と感じた要点と、内部統制にどう充てていくかを書いてきます。
ISMSに関して運用1年目ですので、お気づきの件があればコメントいただけると嬉しいです。

この記事はcorp-engr 情シスSlack（コーポレートエンジニア x 情シス）#1の6日目の記事です。

adventar.org

ISMSとは

ISMSは情報セキュリティマネジメントシステムの略です。
国際規格とされるISMSのセキュリティ運用の基準を満たすことでISMS認証を継続することができます。

ISMSの範囲はとても幅広いのですが、私が関わってきた中で特に重要だと感じた4つをピックアップしてご紹介します。

- 供給者管理
- 情報台帳
- リスクアセスメントの実施
- 情報セキュリティインシデントの管理

供給者管理

供給者とは業務委託先や契約しているクラウドサービスのことです。
部署ごとではなく全社というスコープで供給者について管理し、定期的に見直すようにします。

具体的な運用としては業務委託先やクラウドサービスはシートでリストにして管理していて、供給先には年に1回セキュリティアンケートをお願いします。

また、供給者管理のリストはSaaS/PaaS/IaaSなどの利用サービスをホワイトリストとして社内に提供しています。

情報台帳（情報資産管理台帳）

ISMSでは管理する資産と情報処理設備のリストを台帳として管理することが求められます。

情報資産、例えば契約書やお客様の個人情報を、部署ごとに分類し、キャビネットなどの保管場所やSaaSのどこに保管しているのかを台帳で管理します。

機密情報の管理者やアクセスできる人を管理する台帳になるのですか、現在スプレッドシートで管理しているのでツールで取得できるようにできたらいいなぁと思っています。

リスクアセスメントの実施

リスクアセスメントとは、リスクを管理することだと考えています。
情報資産管理台帳から、リスクの特定・分析を行います。リスクの発生頻度やリスクの対策を文書化して管理しています。

部署毎にリスクの特定を文書にしていますが、部署メンバー全員への周知すに現在課題を感じています。

情報セキュリティインシデントの管理

情報セキュリティインシデントに対して、インシデントについての記録、対応、再発防止策をまとめていきます。また再発防止策でカバーしつつ将来起こりうるインシデントの可能性を少なくするようにしていきます。

ISMSの最終的な評価はインシデントを潰しきることだと思います。

まとめ、大事だと思うこと

ISMSで重要だと感じた項目をご紹介しました。
最後に、運用をする上で大事なことは、いろいろな部署のメンバーとコミュニケーションを取ること、小さいことでも情報セキュリティチームに相談ができるような環境をつくること、メンバーに押し付けないようにすることの3つだと思います。

ROXXについて

agent bankという人材プラットフォームと、back checkというリファレンスチェックのSaaSを運用しています！
中でもback checkは人事から部署へのオンボーディングに大貢献してくれるツールです。リファレンスと聞くとネガティブな印象がありますが、私も入社前にリファレンスチェックを受け、自分の長所が改めて職場から職場へバトンタッチされたように感じ良い気分になりました。人事まわりで課題を感じている企業さんはチェックしてみてください！