バーチャルオフィス登記スタートアップが5ヶ月でISMSを獲得した
ミチビク株式会社取締役CTOの金杉です。
創業から11ヶ月で、ISMSを取得したのでまとめてみました。
対象
最短でISMSを獲得したいって思う人向けの記事です。
引用: https://isms.jp/
そもそもISMSって何?
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
というお硬い定義があるのですが、誤解を恐れずにいうと、 ISO 27001
という情報セキュリティマネジメントシステムについてのISO規格とほぼイコールです。
このISO 270001の取得のために、認証機関の審査を受けて、証明書を発行してほしいといったことになります。
したがって、以下では、ISO 270001という規格を取得するための話を書いていきます。
どうやって、5ヶ月で取得できたのか?
一般的には、早くて6ヶ月と言われているようですが、我々は、5ヶ月で取得できました。
取得までの流れは、ざっくりと以下です。
- 1ヶ月目 契約、キックオフ
- 2ヶ月目 ISMS準備作業(セキュリティールールを作成し、実行する)
- 3ヶ月目 1次審査
- 4ヶ月目 2次審査
- 5ヶ月目 ISMS取得、ロゴ使用可能
一般的よりはるかに早く取得できたのは、大きく分けて3つの要因があると思います。
それらの要因を分析していきます。
- 組織の規模が少ない時期に取得したこと
- 外部のコンサルさんの助けを借りた
- 最短で取得できる、コンサルさん、認証機関で取得した
組織の規模が少ない時期に取得したこと
弊社は、ざっくり10人前後の組織です。そして、創業してから半年ほどで、ISMSの取得に取り掛かっています。
したがって、今までの運用もほとんどないので、0からセキュリティーの運用に関するルールを作ることができたので、最短で取得できたと思います。
また、10人前後なので、ルールの周知や徹底などはコミュニケーションコストをほぼかけることなく実施できています。これが組織の人数が増える前にISMSをやるメリットな気がしてます。
現状の運用があって、その運用を壊して、新しくセキュリティーのルールをつくると、何かしらのコンフリクトがあって、運用に乗せたり、周知するのが大変です。したがって、スタートアップで人数が少ない小規模時代に、セキュリティーのルールを決めてしまって、新しいメンバーが入社する時には、このルールでやってるから。という説明ができるような状態のほうが取得がスムーズに進むと思います。
外部のコンサルさんの助けを借りた
最短でISMS取得するためには、外部のコンサルさんの助けは必須です。
自力で、もちろんできるのですが、工数がかかることと、審査で突っ込まれやすい箇所を教えてもらえますので、最短で取得するのに、とても助かります。
そして、いつまでに何をやってください!っていう指示をもらえるので、その指示にしたがって、文書を作成したり、運用を決めたりして、セキュリティー対策を進めていきます。
私たちの会社の場合は、ざっくり週2時間コンサルさんとのmtgの時間をもらい、それとは別に作業は週3-5時間ほどISMS取得のための作業を進めました。
最短で取得できる、コンサルさん、認証機関で取得した。
ISMSの取得のために、コンサルさんと認証機関を選ぶ必要があります。
選ぶ観点は、コストや期間、信頼性など様々な観点があると思いますが、最短で取得できる会社を選定しました。
この時期までにISMS取得したいという要望を出した時に、そのスケジュールどおりに進めることができるコンサルさんと認証機関と契約させてもらいました。
どうやってリモートで取得できたのか?
こちらは、大きく2つの理由があります。
- リモートで審査可能な認証機関で審査をした
- あとは、運。
リモートで審査可能な認証機関で審査をした
100%リモートで審査をできる認証機関を探しました。
私たちは、物理的なオフィスを持っておらず、いわゆるバーチャルオフィスで登記をしています。
その事情を説明して、対応いただける認証機関で審査を受けることに決めました。
あとは、運。
私たちが、100%リモートで審査をできたのは、コロナの事情があったので可能でしたが、正直、運の要素もありました。コロナで対面でのmtgを避けた方がいいよね。という認証機関側の判断でリモート審査となっています。したがって、コロナの状況によっては、今後リモート100%審査ができなくなる可能性があります。
ただ、もし、100%リモートで審査ができなかったとしても、会議室を一次的に借りて対応したり、50%リモート審査などの選択肢としてあります。
いくらかかったのか?
1年にならすと、約60-90万円/年くらいの費用になります。
費用はざっくりと以下の計算式で成り立ちます。
費用 = コンサル費用 + 審査費用
しかし、実態はもう少し複雑です。
ISMSというのは、1回取得したら終わりというものではなく、毎年継続審査があります。
取得しても、継続的に毎年維持審査があるので、複数年で〇〇円それを▲年で割ると、約60-90万円/年という計算になります。
終わり
以上になります。セキュリティーの重要性がまして、スタートアップの企業でも、ISMSを取得しようとしてる会社は増えてるのではないでしょうか?セキュリティーは重要だと認識してるけど、できるだけ工数をかけないで、最短で取得したいと考える人に役に立ちますと幸いです。
もし、具体的な取得に関して、質問があれば、TwitterアカウントでDM開放してるので、いつでも気軽に質問してください。読んで頂き、ありがとうございます。
Discussion