ISMS更新審査を受けた話

情報セキュリティ対策、してますか？
昨今では、規格を通してセキュリティ対策などの取り組みを担保するのが当たり前になってきました。

私たちの会社では、これをISMS（Information Security Management System)で担保しており、私は今回初めて更新審査を受けましたので、得られた知見や感想なども交え、迷える情報セキュリティ担当の方のお役に立てばと思い、この記事を書きます。

ISMSってそもそも何？

Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと訳せます。
つまりは、ITシステムやネットワークが欠かせない現代において、リスク評価によって計画的に情報セキュリティの問題に対応していくための仕組みです。
これは具体的に管理するためのシステムがあるという話ではなく、自社で適切且つ計画的に管理できれば問題ないのです。

ISMSは、JIS Q ISO27001（ISO/IEC 27001）によって、要求される事項が定められています。
この事項の一つ一つを組織にとって必要かどうかを判断しながら取り組んでいくことが大切です。
大雑把に言って、PDCA（Plan-DoｰCheck-Action）で回しながら、情報セキュリティをより頑強にしていきましょうという取り組みです。

審査の心構え

ありのままを見てもらう

ISMSの審査は、JIS Q ISO27001で要求されている事項が適切に行えているかを確認されます。
つまり、「あなたの組織では、自分たちで宣言している要求事項に対する対応を、適切に実行できていますか？」ということを評価されるのです。
ですから、ありのままを見てもらうことを念頭におく必要があります。

例えば、とある要求事項が未達だったとします。
「これを未達だと伝えたらまずいよな・・・」と思う必要はありません。
達成していなければならない要求事項が未達だった場合は、組織として脆弱な状態です。ここはしっかりと指摘を受け、運用を修正することが適切な管理につながります。

ISMSを定義するISO規格はベストプラクティスのかたまり

ISO規格は、様々な様態の企業・組織に適用できるベストプラクティスとも言えます。
つまり、要求事項を守って適切に組織運用していけば、ある一定の成果が担保されるものです。

審査官は味方と考える

審査官の方のご意見や指摘は、対応することで確実に会社の情報セキュリティを強化する施策になっていきます。そう言った意味では、審査官の方は味方とも言えます。

審査は決して怖いものではなく、より組織を強くしてくれる貴重な機会と認識するところから始めるといいかもしれません。

実際の審査

実際の審査では審査官の方が1ー数名で、審査規模にもよりますが大きい場合は数日かかります。
その間、要求事項のうち、適用範囲として自組織で宣言した「適用宣言書」をもとに一つ一つ確認をおこなっていきます。
審査に慣れないと、非常に手間取る場合があります。

「そもそも何を聞かれるんだろう・・・」と不安になるかもしれませんが、一通りのISMS資料を作成した方であれば、心配はいりません。

ただ、自身の業務範囲でない部分についても確認されます。
この場合、その業務の従事者に協力をお願いすることになります。
自組織内に「ISMS」が浸透している場合は問題ありませんが、「ISMSって何？」という方が審査を受ける場合もあるかと思います。
そういった場合、審査を受ける方が不安に思われたり、ISMS特有の用語に悩んだり、審査官の質問の意図が掴めず時間がかかるケースがあります。
組織内のISMS担当者の方はできる限りこういった場合フォローに入りましょう。

審査で大事なこと

メモを取る

審査後、審査内容の指摘事項などのまとめを共有していただけますが、できる限りメモをとりましょう。

• どんな質問の回答に困ったか
• どんな質問で指摘を受けたか
• どんな質問で評価してもらったか

これは、今後のISMSの適切な運用にとって、とても役立つ情報になり得ます。

また、審査を受ける場合は最低でも2名体制が望ましいです。
理由は、質問の受け答えをしている人は、メモを取る余裕がありません。
調査が必要な、すぐに答えられない質問の調査をお願いすることもできます。

とにかく質問される回数は多ければ多いほど、改善する機会が増えます。

自分たちの考えをはっきりと伝える

審査官から指摘されても、それが必ずしも悪いとは限りません。
実際、自社の組織形態に合わせてルールを設定していることが殆どです。

ISOはベストプラクティス集と先ほど書きましたが、さすがにすべての項目が自組織にマッチしているとは限りません。
自分たちなりの根拠がある場合は臆せずはっきりと伝えましょう。

たまには雑談も交えて

気楽にいきましょう。審査官の方も人間です。ロボットのように質問だけし続けるわけではありません。その方が、こちらも不安に思っていることなどを話しやすいです。
そう言ったところから、改善の機会が増える場合もあります。

最後に

ISMSは、その性質上、組織内に理解者を増やすことがとても大変です。
「文書管理方法などが徹底してルール化される」「よくわからない用語が多い」など、とっつきにくいところがあります。
ですが、理解者が増えてくると途端に強固な盾になり得ます。

逆に理解者が増えないと、どこかの部署（や担当者）がやっているよくわからないルール作りになってしまいます。
つまり、本質を無視した運用になってしまいます。
ルールは、組織を守るために設定しているのですから、そんな評価になってしまったら悲しいですね。

そうならないためにも、少しずつでも理解者を増やしていきましょう。