はじめに
Biziblでは、2025年3月にISMS認証を取得しました!
この記事では、取得にあたってのスケジュールや大変だったこと、実際に効果を実感したエピソードなどを紹介します。
ISMSとは?
ISMS(Information Security Management System)とは、組織が保有する情報資産を様々な脅威から守り、機密性・完全性・可用性をバランスよく維持・管理するための仕組みです。
この仕組みが国際規格 ISO/IEC 27001 に沿って運用されているかを、第三者機関に審査してもらい、問題がなければ ISMS認証 を取得することができます。
※ ISO/IEC 27001 認証 ≒ ISMS認証 と考えられることが多いです。
取得までのスケジュール
ISMS認証取得に向けては、以下のようなスケジュールで進めました。
| 時期 | 対応内容 |
|---|---|
| 2024年09月 | 社内キックオフ |
| 2024年10月 | 情報資産の洗い出し・リスクアセスメント |
| 2024年09〜12月 | 社内ルール・文書の整備 |
| 2024年12月 | 内部監査 |
| 2025年1月 | マネジメントレビュー |
| 2025年1-2月 | 審査機関による審査 |
| 2025年3月 | ISMS認証を取得 |
なお、主なツールとしてSecureNaviとNotionを活用し、ドキュメント管理やタスク管理を行いました。
大変だったこと
ISMS取得にあたって大変だったことは、主に以下の2つです。
- ISMS取得において実行しなければいけない、TODOの理解とタスクの整理
- コミュニケーションの多さ
ISMS認証取得には、SecureNaviというサービスを活用しました。
SecureNaviは、ISMS認証やPマークの取得から維持・運用までを自動化・効率化するクラウドサービスです。
このSecureNavi上に、ISMS取得に必要なTODOが整理されているのですが、そのTODOで実際に何をしなければいけないのかを理解し、実際のタスクに分解することに時間がかかりました。
また、ISMS取得にあたっては、基本的に私1人が担当として、多方面の調整等を行っていました。その中で以下のように多方面と連携しながら進める必要があり、そのコミュニケーションに想像以上に時間を取られました。
- 外部審査機関とのやり取り
- 社内へのリマインド
- SecureNavi社への質問
- …
工夫したこと
SecureNaviでは、TODOは記載されているものの、細かいタスク管理が行いにくかったので、タスク管理には、Notionを使いました。弊社では、開発のカンバンボードや社内ドキュメントを全てNotionで管理していたため、そちらのノウハウを活用し、タスク管理はすべてNotionで実施していくようにしました。
また、ISMS取得に関して極力工数をかけたくなかったため、最初に関係者各位を集めたキックオフを行った後は、定例の時間は設けないようにしました。その代わりに、週次でタスク進捗状況について報告を行い、タスクが遅れている方にはリマインドを行うようにし、確実にタスクが終わるように工夫をしました。
ISMS認証取得の効果を実感した例
-
「ISMS必須」とされる案件で導入ハードルをクリアでき、受注につながったこと
「将来的には認証がないと受注できないお客様が出てくる」と想定していましたが、取得直後にその状況が発生し、認証の価値を実感することができました。
-
セキュリティチェックシートの回答が免除されるケースが増えたこと
月に1~2件ほどセキュリティチェックシートの回答を求められるのですが、ISMS認証取得により回答不要となる事例があり、担当者として大きな負担軽減になっています。
課題、今後の展望
現在はISMSの運用が私に依存しており、属人化しているのが課題です。今後は他メンバーを巻き込み、誰でも運用を担える体制を構築していきたいと考えています。
また、ISMSは「セキュリティに関するPDCAを回す仕組み」ではありますが、Do(実行)の部分 に十分なリソースを割けていないのも現状です。こうした課題を解消するため、今後は社内での分担や外部パートナーとの協力を進め、より実効性のある運用を目指していきます。
Bizibl では開発エンジニアを絶賛採用しています!カジュアル面談に興味がある方はこちらからご応募ください!
「人と情報をシームレスに繋げる」というミッションのもと、ウェビナーマーケテイングSaaS「Bizibl」を提供しています。
Discussion