沖縄でISMS:ISO27001の認証取得に挑んでみた!

最終更新日

・自社のISMS(情報セキュリテーマネジメントシステム)構築を行うことになった・・・!

・・・

・まず規格の理解から・・・ん・・・言葉とその解釈がむずかしい・・・!

・・・

・会社の資産・情報の「完全生」「機密性」「可用性」について管理・運用のレベルを決める・・・!

・・・

・トップマネジメント・・・!?

・・・

・小規模企業は社長場合が多いw・・・!

・・・

・顧客の要求条件・・・!によって対応できるレベルの策を取る・・・!

・・・

・ISMSの管理者は・・・!内部監査の時と・・・!審査の時・・・!

・・・

・円形脱毛症になる方もいるらしい・・・!

・・・

・レベルの決め方は、顧客の要求条件と自社の事業継続の為の範囲・・・!

・・・

・あまりに細かくルールのレベルを上げすぎると・・・!

・・・

・管理・運用が大変になる・・・!

・・・

・逆にかなり大雑把で、運用改善のPDCAも回せてない実態もあるだろう・・・!

・・・

・ISMS認証をとることは、対外的信頼性を得ることはもちろん大切・・・!

・・・

・だが、自社の実態にあった強弱をつけたルールの維持改善に毎年、成長させていくことが良策と思われますね・・・!

・・・

・とは言え・・・!

・・・

・維持改善には、毎月行う社内の委員会でのP(計画)を探しD(実行)する・・・!

・・・

・C(チェック)をし A(次のアクション)・・・!

・・・

・その際、トップマネジメントへレビュー・・・!

・・・

・資産や情報の追加・変更など・・・!

・・・

・その際、お金がかかる場合もある為・・・!

・・・

・先延ばしになる場合もあり、進まないこともある・・・!

・・・

・2年前に規格に変更があった際にはコストはかかったが・・・!

・・・

・1日20万円のフィーを払い、コンサルから指導を受けた・・・!

・・・

・最近顧客から吾輩達の情報セキュリティーについてアンケートが来る・・・!

・・・

・特に昨年から変化としては、サイトの常時SSL化・・・!

・・・

・CMS(ワードプレスの様な、コンテンツマネジメントシステム)の脆弱性を狙った攻撃の対策としてのWAF(ウェブアプリケーションファイヤーウォール)など・・・!

・・・

・費用はかかるが、自社の事業継続(事故=インシデントを起こさない・起こさせない)対策が必要となった・・・!

・・・

・このサイトも常時SSL化している・・・!

・・・

・県内企業のサイトを見てみると認識が薄く、ブラウザーのURLの横に「保護されていない通信」とネガティブ表示されている・・・!

・・・

・取得時の話に戻るが・・・!

・・・

・組織の事業部門ごとに、規格に合わせたルールとその運用レベルを決めた・・・!

・・・

・規格は130あり、一個一個すべて決めて、運用して行った・・・!

・・・

・その後、実際に運用、内部監査、マネジメントレビュー、是正、改善・・・!

・・・

・そして約10ヶ月後、審査を受け構築・規格にそって運用されてることについて認証を得る事ができた。

・・・

・かかった費用1:構築コンサル費用・・・○○○万円w・・・!

・・・

・かかった費用2:環境改善の為の備品等費用・・・○○○万円w・・・!

・・・

・合計=かなりかかったw・・・!

・・・

・最新の規格では、社外にあるクラウドサービス活用時のルール決めなど・・・!

・・・

・新たな項目も対策することとなった・・・!

・・・

吾輩は・・・!ISMS:ISO27001の認証取得に挑んでみた!

OLYMPUS DIGITAL CAMERA

ippinokinawa-ad