ISMSへの道

第3回:ISMS取得までの活動内容を大公開!

Posted on


さて、認証取得コンサルティング会社との契約が完了すれば、いよいよ取得に向けた準備作業を始めます。「具体的にどんな作業をするのか」というのは、私たちもやってみてはじめて理解しました。そこで、今回お世話になったLRM株式会社様の全面協力のもと、活動の流れをご紹介したいと思います。

取得までのスケジュール

一般的には、取得までに1年近くかけるケースが多いようですが、今回は半年程度で取得したいとお願いしました。そこで、開始前にご提示いただいたのが下記のスケジュール(案)です。現時点まで(タイトでしたが)概ねこの計画通りで進んでいます。
schedule

具体的には、何をするのか?

上記スケジュールの各項目がどういう内容なのかについても、説明しておきましょう。

1.認証取得範囲の検討

事業部や拠点が分かれている場合、どの範囲で認証取得するかということを決めます。当社は本社のみしかありませんので、本社のみ=全社としました。

2.現状確認、体制構築

事業内容、社内体制、今後の方針等の基本事項を認識合わせします。

3.情報資産洗い出し

社内の「情報資産」にどういうものがあるかを体系化します。「情報資産管理台帳」というフォーマットに、各事業部が保有している情報資産をリストアップし、それぞれの機密度などを評価します。

4.リスクアセスメント

情報資産に起こりうるトラブルを想定し、それらの抱えるリスクを「リスク管理台帳」というフォーマットに整理していきます。言うのは簡単ですが「あんなことも起こりうる」「こんなことも起こりうる」という”想定の範囲”を網羅的に広げるには、コンサルタントの客観的なアドバイスが必要だなと感じました。

5.ベースライン分析

「ベースライン」というのはISOで管理すべきと定義されている要求事項の項目群です(114項目)。その114項目にそって、当社がどのように対応するかの方針をひとつひとつ決めていきます。従来からできている部分はよいですが、まだできていない部分の方針もコンサルタントと議論しながらで決めていきます。これは、非常に時間のかかる作業ですが、オンラインのチャットやWebミーティングを使って進めることができたので、スケジュール調整などが非常にスムーズに行きました。

BL
ベースライン管理表(イメージ)

6.事業継続管理

「事業継続管理」とは、例えば天災や大事故、大規模トラブルなどにより、事業(サービス)の運営が困難になる場合に、その場合の対処策を定めておくことです。非常時の対応方法をあらかじめ決めるというのは、普段ではなかなかできないことなのでよい機会となりました。

7.文書作成

1~6でディスカッション、整理してきた内容を踏まえ、各種マニュアルに文書化します。通常はWord等で整理することが多いですが、今回はTeachmeでのマニュアル化を行いました。※この点について、別の機会に詳しく紹介します。

一般的な文書型のマニュアル(イメージ)
一般的な文書型のマニュアル(イメージ)

8.運用

1~6で決めたことを、社内で実践していきます。

9.社内教育

社員に対し、これまでに取り決めてきた内容を教育します。

10.内部監査

内部(社員もしくは社員が依頼した専門家)により、ルールがきちんと運用・周知されているかを監査します。

11.マネジメントレビュー

会社代表者(社長)によるレビューを行い、認証機関の審査を受ける前の最終確認をします。

12.審査

外部の専門認証審査機関による審査を二回に分けて行います。これらの審査を経て、最終的に認証取得となります。

独力では、やっぱり難しかった

ここまでのことを半年で(通常の業務を抱えながら)することは、やはり現実的でないなと感じました。
・活動のリード(プロジェクトマネジメント)
・ヒアリングやアドバイス(指導・提案)
・フォーマット類の準備やドキュメントの作成(作業支援)

という面で、コンサルタントのサポートがあったからこそ、と感じています。

さて、次は実際に当社が作成したマニュアル類を詳しく紹介したいと思います。

<あわせてお読みください。:ISMSへの道 記事一覧