ISO27001(ISMS)新規取得コンサルティング実施事例 ITサービス事業者 栃木県県央
GAFAを支えているのは小さなIT事業者たち
今や私たちが利用するWebやITサービスはGAFA(Google, Apple, Facebook, Amazon)によって構築された基盤の上で成り立っているといっても過言ではなく、むしろ情報化が進んだ現在社会で欠かせない存在です。
といってもこれら巨大IT事業者も自ら全て事業展開することは難しく、そのプラットフォームの管理・運営には数多くの小さなIT企業(ITパートナー)が協力して成り立っていることはあまり知られていません。
今、ISMSの認証取得が急増している
この栃木県にも巨大IT企業のサポートメンバー企業として小粒ながら活躍されているITパートナー企業は意外と多いのです。IT企業だけでなく公的機関(県や市町村)の運営を支えているのも小さなITパートナーです。
巨大IT企業にしても公的機関にしても、機密性の高いデータを扱うため、そのITパートナーの情報セキュリティに関する管理レベルはとても高いものが要求されています。
そのため、近年、ISOシリーズの中でもISO27001(ISMS・・・情報セキュリティマネジメントシステム)を取得する企業は急増しています。
クライアントは大手IT事業者のパートナー
今回のクライアントは栃木県央にあるIT事業者様で、大手事業者からのITパートナーとして実績はありつつも、ISMSの取得が必要となったとの背景があり、今回、エルシーアールにて情報セキュリティの構築とISO27001認証取得のお手伝いをさせていただくことになりました。
リモート形式でコンサルティングを実施
時は新型コロナウィルスの世界的流行下。日本国内、とりわけ栃木県でも緊急事態宣言が複数回にわたり発出/解除が繰り返され、政府からは企業に対しリモートワークを推奨している時期と重なりました。
こんな時こそIT事業者様の強みなのでしょう、リモート形式でISO27001のコンサルティングを行うことにしました。リモート形式でコンサルティングを行っても何の不都合もなく、スケジュール通りにシステム構築ができました。もちろんプロジェクトメンバーが目標に向かってまじめで積極的な取り組む姿が良い結果をもたらしました。
エルシーアールのモデル文書をベースに構築
コンサルティングはエルシーアールのモデル文書を元にして主に以下の流れで構築していきました。
- ISMS適用範囲の設定
- 情報セキュリティ方針の制定
- リスクの特定
- リスクの分析
- リスクの対応方法
- 管理策の選択、適用宣言書の作成
- リスク対応計画の策定、残留リスクの承認
主な成果物
コンサルティングを通して主に以下の規程類・帳票類を作成しました。
- 情報セキュリティマニュアル
- ISMS組織 責任と権限一覧
- 情報資産管理台帳
- 情報セキュリティルールブック
- ISMS目標
- ISMS教育体系
- 内部監査チェックリスト
- マネジメントレビュー記録
ISO27001初回審査を無事終了し、認証を取得された
クライアント様では初回審査を無事終了し、ISO27001の認証を取得されました。このクライアント様はとても向上心が高く、プロジェクトメンバー以外への教育と業務への浸透を図っていくことの重要性を経営者様がお持ちです。今後もISOの基本的な考えである「実務に活かす」ことを徹底されていくことと思います。
株式会社エルシーアール 事業推進部 部長 若色 宏幸