ISMS規格改定 (2) クララオンラインでの取り組み

みなさん、こんにちは。

グローバルソリューション事業部の吉村です。

 

9/30の記事に続き、ISMS規格改定の話です。

 

 

ISMS活動の取り組み

突然ですが、改めまして私、普段はサーバエンジニアの業務などしています。

お客様に提供するサービスを構築したり、社内で作業自動化を推進したりなどやってます。

 

 「普段はエンジニア業務をしている人も ISMS 活動しなきゃいけないの?」 思われるかもしれませんが、

答えは Yes です。

 

これまで私がISMSのセミナーで出会った方のほとんどは、普段の業務にプラスしてISMSプロジェクトも行っているという方でした。

もちろんISMS と業務として専属担当者という方もいましたが、私がお会いした人々の中では少ないですね。

 

それのどちらが良いかは置いといて、クララオンラインの場合、社内の全部署からISMS委員会メンバーが選出されるため、自ずと全社的な取り組みになるというメリットがあります。

実務から浮かび上がった問題点も、、毎週開催されるISMS委員全体会議にて共有されるので、

現場主導という意味で良いやり方だと思います。

 

 

 

規格改定は何からすればいいの?

話は変わりまして、

まだまだ新規格を勉強中ですが、当面やるべきは、新旧規格の対比を理解することです。

新規格になることで、旧規格と内容がガラリ変わるわけでなく、あくまで発展的に新規格になっています。

 

そのため、ISO27001の中で100以上ある管理目的及び管理策 (こうするといいよとか、こうあるべきという提言のようなもの) から、

  • 新しく出来たもの、削除されたもの、変わらないものを理解する。
  • 旧規格の管理目的及び管理策 が、新規格ではどれに該当するのか(移動しているか)を理解する。

この2つがまずは、やるべきことではないでしょうか。

 

現行規格の133項目から新規格では114項目に減っているのですが、単純に数が減ったわけではなく、

新規追加されたり、統合されたり、別の番号に移動しただけだったりと、複雑な変更となっています。

ここは規格改定のセミナーに行くと、必ず説明される部分ですね。(テストに出るからね~的な)

 

この新旧規格の対比を理解した上で、ISMS 関連文書のフォーマット変更 を行なっていきます。

おそらくこのフォーマット変更こそが、今回の規格改定で最も時間と労力を注ぐ作業になるのかな~、と考えています。

なんせ、関連文書がこれまた数が多いんです。。。

 

 

 

社員への教育

 

今回のISMS規格改定に伴い、社内の情報セキュリティに関するルールが大きく変更されるとは考えていません。(今のところですが)

 

確かに旧規格には無かったような新しい要求事項は新たに社内ルール化する必要がありますが、それは昔から対応してたよ、という場合があるからです。

何より ISMS はマネジメントシステムですので、現場の社員が混乱するような変更は避けるべきですね。

そのため、最低限のポイントのみを社員に再教育していくことになるのでないでしょうか。

クララオンラインのように70人程度の規模でしたら社員への教育は徹底できますが、従業員の多い会社の場合、情報セキュリティの教育だけでも大変な労力になると思います。

 

 

参考情報

最後に、ISMS規格改定について、勉強になりそうなサイトを集めてみました。

是非参考にしてみてください。

 

方法論は様々かもしれませんが、まだ新規格に移行済みの組織が少ないが故に、必勝パターンはないと思います。

 

地道にですが、まずは新規格への理解を深めることを頑張りましょう!

また進展あれば公開していきますので、お楽しみに~

Share on LinkedIn
LINEで送る
Pocket

吉村

吉村

クララオンライン グローバルビジネスストラテジー部でマーケティング担当として働いています。 クラウド関連技術と中国関連の情報をお届けしてます。 たまに DJ とかします。日本語RAPが大好きです。