ISMS審査での大失敗から得たもの

ISMSとは

ISMS（Information Security Management System）とは、情報セキュリティを維持・管理するための仕組みであり、国際規格であるISO/IEC 27001に基づいて構築されます。
ISMSは、情報セキュリティに関する方針や目標を定め、情報資産のリスク評価や脅威分析を行い、適切な対策を講じることで、情報セキュリティを確保するためのシステムです。

ISMSの第一印象

難しそう、、、。
審査って怖そう。
審査に落ちたらどうなるの。不安。
会社のセキュリティの為に頑張ろう。
重大な任務だ。

初めてのISMS審査対応

自信がなく、終始受け身の対応になった。
知識不足・準備不足を痛感した。
審査員の方の指摘にへこんだ。
自身の審査対応の出来が情けなくてへこんだ。
審査員の方は敵じゃなく、味方だった。

巻き返しへ

ISMS審査を対応した経験を活かし、次年度のISMSは自身が中心となって進めることになった。
次回審査は自信を持って審査に臨むために色々と考えた。

次回の審査までに「やる！」と決めたこと

セキュリティについて前向きに取り組む

自身がISMSをリードすると決意した。
ISMS事務局のメンバー同士でISMSに対するポリシーや理念を共有した。
これまでの慣習やカタチに捕らわれず、新たに独自のセキュリティ計画をたてた。
ISMSの実施項目はポリシーに沿って「やること」を決めた。
自身が取り組んだISMSに関する活動をアプリに登録して審査の準備をした。
形式的にならないように、常に本質的であることを心がけた。
ISMSについての知識をつけた。

ISMS審査について整理する

積極的に、取り組んだことをアピールすると良い。
アドバイスを聞くだけでなく、自分たちの考えを伝えられるとより良い機会になる。
審査員の方のプロフェッショナルな意見を聞くチャンスと捉え、たくさん吸収する。
何か問題が見つかっても動じない。
ISMSは審査のための活動ではなく、セキュリティの改善を継続して会社を成長させるための活動である。

いざ2回目の審査へ

やっぱり審査対応は大変だった。
所々で、嫌な汗をかいた。
1年間ISMSに前向きに取り組んだことで、自信を持って審査に臨めた。
取り組んだことをアピールできた。（あまり思い通りにいかなかったが。。）
積極的に議論して、沢山のアドバイスをもらえた。

結果

ISMSへの前向きな取り組みを評価してもらえた。
ISO27001並びにISO27017が無事に再認証された。

まとめ

ISMSを通じて、どんな事でも前向きに取り組むことの大切さを学びました。
前向きに取り組むことは、「やりがい」や「楽しさ」に繋がることを学びました。

そして、1年間責任をもってISMSに取り組み、無事に再認証されたことでとても自信がつきました。
これからも色々なことにチャレンジして、発信を続けていきたいです🔥

補足

コラボスタイルのISMS認証取得状況

私の働いているコラボスタイルは、名古屋オフィスにてISO 27001（ISMS）の認証を取得しています。
クラウドサービスのコラボフローとコラボフォームはISO 27017（ISMS）のクラウドセキュリティ認証を取得しています。

クラウドセキュリティ認証を得るには

ISMSクラウドセキュリティ認証を得るには、前提としてISO/IEC 27001を取得していなければなりません。
その前提に加えて、クラウドサービス固有の管理策であるISO/IEC 27017が適切に実施されていることが必要です。

ISMS審査の種類

ISMS審査も色々と種類があります。

• 維持審査・サーベイランス審査
  • 車の車検と点検で例えると、点検にあたる
• 更新審査
  • 車の車検と点検で例えると、車検にあたる

初めての審査

初めての審査は、以下のサーベイランス審査でした。

• コラボスタイルのISO 27001（ISMS）
• コラボフローのISO 27017（ISMS）

また、コラボフォームのクラウド認証を取得するため、クラウド拡大審査もありました。

• コラボフォームのISO 27017（ISMS）

2回目の審査

1年後に以下の更新審査がありました。

• コラボスタイルのISO 27001（ISMS）
• コラボフローのISO 27017（ISMS）
• コラボフォームのISO 27017（ISMS）