ISMSを取得した話（運用編）

前回の続き

私が転職して取り組んだISMSの運用を開始した際のお話になります。

運用開始するにあたって

ISMSの運用ルールや規程を定めた後、すぐさま運用フェーズに突入しました。それに伴い、問題となったのが、適用範囲になる人への周知でした。
これは取り組みを推進する担当者が全員突き当たる壁ですが、私も運用開始するにあたり悩みました。

悩んだポイント

• この取り組みの背景をどのようにして伝えるか

• スタート時点で取り組みの全てを理解してもらうことは不可能

• 取り組みをどのように浸透させていくか

特にこの３点には悩みました。

まずこのISMSの取り組みを行う背景をどのようにして社員一人一人に理解してもらうかが重要だと考えていました。
私自身、過去に所属していた企業でISMSの取り組みを行っていましたが、そこに所属する社員一人一人が、なぜこの取り組みをするのか理解できていなかったり、ただただめんどくさい取り組みだと捉えられている事もありました。それはそう捉えている社員が悪いとかではなく、推進担当者がなぜ取り組んでいるかを周知し、理解してもらう必要があると考えています。
そういった過去の経験から最初のスタートポイントとしてこの点を重要視しました。
弊社が利用しているISMSオートメーションツールのSecureNaviでは、ツール内で取り組みの序盤で、この点に該当する「組織の課題」や「利害関係者のニーズ」を設定します。これらを定めた背景をベースに、関係者へ周知を行いました。

また、運用を開始してすぐにISMSで定めたルールをいきなり全て理解してもらうことは難しいだろうと考え、開始時点で最低限把握してもらいたいルールをピックアップし共有しました。
ISMSの114項目の管理策の中にはISMS事務局が守るべきルールと、適用範囲の人全員が守るべきルールが入り乱れており、それをベースに一つの運用ルールを定めると、どうしてもこのルールは誰が、どう守るべきかはっきりしないものが出来てしまいます。そのため、社員一人一人に守ってほしいものはコレと明示しました。

ここまでは、個人的にはそれなりにうまくできたと思います。

ただ、３点目の浸透については、今も模索中です。
弊社の社員の皆さんはISMSの取り組みを行っている企業出身の方も多数いらっしゃったり、取り組みへの理解と対応をスムーズにしてくださる方もおり、それにやや甘えていたところもあったと思います。
そのため、周知にとどまり、浸透までは評価しきれなかったのが実情です。

ISMS事務局としてやったこと

初年度はとにかく取り組みを開始したばかりということもあり、取り組みへの理解と情報セキュリティのレベルの底上げに注力しました。
流れとしては、会社全体のセキュリティレベルを上げるための施策を、私の所属するCTO室が一手に担い、取り組んだ結果を全体に周知するという流れでISMSに定めたルールに、組織をフィットさせていきました。
例えば、管理者権限をもつユーザーを適切な人間に限定したり、バックアップ運用を適切に行うなど、当たり前に行うようなことを、当たり前にルールに定め、当たり前に実行するといったものです。
特段変わったことは行っていませんが、愚直に取り組んでいくことが最終的には組織全体のレベル向上につながると考え、取り組みました。

運用開始してどうだった

最初に守るべきルールのハードルを高すぎないものに設定したのが功を奏したのか、特段の混乱もなく、ISMSの取り組みを行うことを理解していただけたと思います。
また、ISMSの中で設定した部門目標についても、初年度は分かりやすく、達成する道筋が見えるものとしたため、必要な取り組みをスムーズに実施していただけたと思います。

反面、ごく一部の人には運用状況について確認しましたが、他の方たちから反応を聞く機会を設けていなかったため、実際どのような問題があったかまでは把握しきれていないように思えます。この部分は来期以降、各部門のISMS委員から委員会の中で状況を確認するなどしていきたいと考えています。※1

※1：今期はスモールスタートとするため、全部門から委員は選出せず、限られたメンバーで進めました。

次回

次回は運用開始後、最初の内部監査を実施したお話と、その結果をもとに行ったトップマネージメントレビューについて書こうと思います。