DELTAテックブログPublicationへの投稿
🔐

6か月で ISMS 認証取得!少人数企業でもできた実践ノウハウ

Shogo-B
に公開
ISMS
情報セキュリティ
iso27001
idea

はじめに

どうも、馬場です!
このたび、当社は ISMS(情報セキュリティマネジメントシステム)認証 を取得しました。
当社はCTO Boosterというクラウドのコスト削減を支援するサービスを提供していますが、外部認証を受けたことでセキュアな運用をしていることを第三者から認定されたことで、より安心して当サービスをご利用いただけるようになっています。

https://prtimes.jp/main/html/rd/p/000000030.000108676.html

本記事では、ほぼ一人でISMSを 6か月 で取得した際に、実際に取得までに行ったことや気をつけたことをまとめています。これから取得を検討している方々の参考になれば幸いです。

ツールではなくコンサルを選んだ理由

今回、ISMS 認証の取得にあたっては「取得支援ツール」という選択肢もありましたが、当社では コンサルタントの利用 を選びました。

理由は以下の通りです。

  • 前職でISMSやSOC1の継続審査で当時の部門の担当をしたことがありましたが、社内での取りまとめ役と部門間で摩擦が生じやすいため、第3者を立てて対立を避けたかった
  • 少人数体制のため、通常業務に加えてゼロから認証作業を進めるのは難しく、専門家のナレッジや資料テンプレートを活用して効率的に進めたかった

なお、コンサル企業の選定基準は何社かのサイトを見て、価格感と対応実績で決めました。
従業員目線では「誰を選ぶか」よりも「稟議がおりそうな金額」であることと「外部に頼る」という判断自体が重要だったと感じています。

ISMS取得プロジェクトの流れ

認証の取得までは初回のミーティングから 約6か月 かかりました。
内容としては以下の通りです。

  • 毎月1回、2時間の打ち合わせが基本
  • 実作業は各部門1.5日、責任者・代表数日程度
  • 認証機関による外部監査の実施(1次審査1日と2次審査2日を2か月にわたって実施)

実作業の内訳としては、事業継続計画(BCP)のテスト実行や、未整備だった社内ルールの策定など最低限の自社でしかできない作業でした。

思わぬメリット

実績の多いコンサル企業だと該当認証機関から過去認定を取って実績もあったり、ある程度"ポイントを押さえた進め方"ができました。

監査に向けた心構えと実務ポイント

実際にISMS取得に向けて動き出すときに向けて、特に資料の作成や外部監査の際に気にかけておいた方が良いなと思ったことをリストにしておきます。

  • 監査員は「敵」ではない
    指摘は攻撃ではなく、改善のきっかけと考えると気が楽です。
    完璧な状態でなくても「後で直せばよい」と思えば余裕が持てますし、初回の挨拶で軽く世間話をして人間味を感じると緊張も和らぎます。

  • 抜け漏れは隠さず申告する
    準備中に見つかった不備は、整備の良いタイミングです。
    隠したままだと後の質問で苦しくなるので、手間でも早めに整えてしまうのがおすすめです。コンサルが入っている場合は「他社あるある」を聞いて参考にするのも有効です。

  • 事前準備は「よくある質問リスト」から
    代表的な質問と回答を整理しておくと安心です。
    監査でよくあるのは「○○ってどうなってるの?」→「それはどの規程で定義されている?」→「その証跡は出せる?」という三段コンボです。質問集を先に見ておくと対応しやすくなります。

  • ルールと証跡はセットで即出せる状態に
    監査で問われるのは「ルールがあるか」「実際に守られているか」です。 監査と監査で出た指摘の改善でPDCAが回っていく仕組みになっています。
    ドキュメントと証跡をペアで提示できれば説明がスムーズになり、監査時間も短縮されます。監査は丸一日かかることも多いため、準備次第で本番のしんどさが変わってきます。

  • 嘘はつかない
    認証を取るために事実を隠しても意味がありません。
    できていないことは「今は未対応です」と正直に答え、必要なら他社事例を聞いて改善に活かすほうが健全です。

  • 存在しない業務は正直に伝える
    例えば紙の契約書やコピー機利用など、そもそも業務にないものを無理に整える必要はありません。
    私自身も「利用自体がない」という回答をしましたが、きちんと理解を得られました。

  • 回答はシンプルかつ端的に
    聞かれたことだけを必要十分に答えるのがポイントです。
    余計な話をすると深掘りされてしまうので、シンプルに答えて次の質問に進むのがおすすめです。

まとめ

ISMS 認証は、会社の信頼性を高める大きな一歩です。
サービスによってはコンペの前提として必要になってくるケースもあると思います。

しかし、企業によっては「そもそも何やるの?」「自分たちだけでやれるの?」と不安になってくることもあると思うので、そういった場合には外部に頼ってみるのも手ではないかなと思います。

本記事が、これから ISMS 取得を検討する方の参考になれば幸いです。

DELTAテックブログ
DELTAテックブログPublication

DELTAは、ベンチャースタートアップなどの成長企業向けに、ソフトウェア・プロダクト開発や技術選定支援などの技術支援事業を提供しています。 また、成長企業向けに様々な事業支援を提供するSEVENRICH GROUPに属して、グループ内の事業会社や、出資先の支援もおこなっています。

Discussion