コンサルティング内容：ISO/IEC27001:2022　情報セキュリティマネジメントシステム

 

ISO/IEC27001国際規格を取得して顧客からの信頼を得たい

エルシーアールでは、デジタルコンテンツ制作に力を入れている栃木県南部の広告代理店の企業様からの依頼を受け、情報セキュリティマネジメントシステムISO/IEC27001:2022（以下、ISO27001）の認証取得コンサルティングを行いました。広告代理業では顧客からの様々なデータを預かりながら業務を行っているため、顧客データのみならず開発データについても慎重なセキュリティ管理が求められており、今回、顧客からの信頼に応えることを主な目的としてISO2700認証取得に取り組むことになったとのことです。

情報資産とは何か

情報資産というと社内で取り扱ういわゆる「デジタルデータ」が対象と考えがちですが、それは情報資産の一部です。紙で保有する資料（例えば契約書や人事採用の情報なども）も情報資産ですし、パソコン、サーバー、ネットワーク機器、通信インフラなどのハードウェアも情報資産にあたります。つまりは資産価値のあるものすべてが対象になります。

急速に広がりつつある情報セキュリティマネジメントシステム

ISO規格は企業に広く浸透しています。ただし多くの企業は品質マネジメントシステム(ISO9001)、環境マネジメントシステム(ISO14001)に偏っています。

一方、近年ではサーバーが外部から攻撃を受けたり、従業員の故意または過失による情報漏えいが社会を騒がせる事案が増えています。企業はしっかりと情報資産管理にコストをかけなければいけない時代になっています。このような背景もあって、昨今では情報セキュリティマネジメントシステム（ISO27001）の認証取得に取り組む企業が増えています。

コンサルティングはまずはISOマネジメントシステムの基礎から

この企業様は広告代理業ということもあり、これまでISO規格の認証取得に取り組んだことはありませんでした。そこでISOマネジメントシステムに共通する基礎から学んでいただきました。具体的にはPDCAの概念、方針やトップマネジメントの責任の重要性、目的・目標管理、法規制等の遵守、内部監査・マネジメントレビューの意義等です。

ISO/IEC27001システム構築の流れ

コンサルティングは以下のステップで行いました。エルシーアールが提供するモデル文書を用いてその企業様に合うようにカスタマイズしていきます。

１．ISMS適用範囲の設定（対処拠点・システム、事業範囲）
２．全社的な情報セキュリティ方針の制定（経営者による制定）
３．情報資産の洗い出しと資産価値評価（自社にはどのような情報資産があるか、それらの価値は）
４．リスク評価と対応計画（リスクや脅威を分析し、対応策を計画する）
５．管理策の選択と適用宣言書の作成
６．情報セキュリティ目的の決定と達成のための計画書の作成
７．内部監査とマネジメントレビューの実施

情報セキリュティ教育の重要性

企業が情報セキュリティを強化する上で重要なのは、従業員一人一人の意識の高さにあります。外部に情報を（必要以外に）持ち出さない、パスワード設定と定期的な更新、不審なメールや添付ファイルを不用意に開かない、情報機器の取り扱いなどの基礎的なことを従業員が理解し実践していることが重要になります。
この企業様においてもコンサルティングのなかで上記の情報セキュリティ教育を実施しました。

認証取得までの期間

このお客様には約8か月のシステム構築コンサルティングを行い、その後に審査を受け無事にISO27001の認証を取得しました。審査での不適合はなく、スムーズに認証を取得できました。
ただし今回は初めての受審ということもあり、“まずは認証取得を最優先としたレベル”であったといえます。この企業様ではより強固なマネジメントシステムを作り上げたいとの思いから、認証取得後も継続した「フォローアップコンサルティング」もエルシーアールにて行っています。
これからもこの企業様の従業員が高い情報セキュリティ意識を持ち、仕組みとしてもレベルアップしていけるようエルシーアールとしても支援してまいります。

※「ISO認証」取得支援コンサルティングについてはこちらをご覧ください

　　　　　　　　　　　　　　　　　　　　　　　　　株式会社エルシーアール　取締役　事業推進部長　若色　宏幸