ISO9001,14001,ISMS,OHSAS認証機関
国際システム審査株式会社
ジャイス株式会社
ご回答:ジャイス株式会社 代表取締役 梅林 功 様
当社は、「情報セキュリティから経営にイノベーションを」という全社キャッチフレーズの通り、プライバシーマークやISMSなど情報セキュリティコンサルティングサービス、お客様のパソコン操作ログの遠隔監視サービスを中核として、情報システム企画開発サービスを含めて3つの事業領域で事業を展開しています。 まず営業上の認証取得目的ですが、当社では、2年ほど前より、従来事業から情報セキュリティを事業の核に据える事業形態へと組織変更を行ってきました。こうした中で、 お客様からより一層の信頼と満足を獲得するには、ISMSの認証取得が不可欠であると考えていました。自社のサービス展開上、プライバシーマークを先に取得しましたが、ISMSの取得は当初から念頭においていました。セキュリティへの取組みを行っている事を内外と説明するために、ISMS認証取得は大きな意味を持つものと考えています。 一方、自組織の強化も目的の一つです。当社は比較的若い会社ですので、マネージャー層のリーダーシップの醸成や社員の役割責任の確立など社内の組織をより強固にしていく必要があります。組織体制を確立するという意味でも、ISMS導入や審査機関による審査が活用できるのではないかと考えました。
比較的短い期間で、少人数、既存業務兼務でのISMS構築を目指したことから、ISMS構築作業時間の調整・確保に一番苦労しました。ただしこうした苦労が、ISMS構築をになったマネージャー層をはじめ社員の役割責任の自覚や意識向上に役立ったのも事実です。 構築の個別作業に関していえば、社員間でセキュリティリスクに対する認識レベルに相違があり、それを改善する方策を検討する必要を感じていました。リスクアセスメントや内部監査の段階などでレベル感を調整するために会議を頻繁に行い認識を共有化する努力をしました。幸い運用を開始してレベル感のばらつきは是正されてきたように思います。
プライバシーマークの審査を経験していましたから、審査対応については慣れているつもりでしたが、ISMS審査対応では、各々のリスクへの対応方法、そして適用する規格要求事項の展開方法について、自社なりの論理的な回答を準備しておかなければならず、多少回答に躊躇する面がありました。規格の解釈や各審査段階で必要な事柄などについては、事前に審査機関と相談しておいたほうが良かったのかもしれません。
ISMS認証取得を通じてお客様の要求するセキュリティ要件を満たし、信頼をいただける基盤が整ったと感じています。今後は、この信頼を維持し、積極的にお客様の懐に飛び込んで事業を一層拡大していきたいと考えています。 株式会社コア・クリエイトシステム社
株式会社コア・クリエイトシステム 情報セキュリティ委員会 最高情報セキュリティ責任者 猪野 保宏様(写真、上段左から2番目)
当社は、医療用業務システム及び、官公庁・一般企業基幹システム等のシステム開発・導入支援を主力とする会社です。その為、病院・官公庁・企業等の機密情報に接する機会も多く、かねてより当社独自の情報漏洩防止対策には取り組んでおりました。 昨今の情報漏洩事件・事故の報道は、他人事ではありません。安易な行動・発言が取り返しのつかない問題に発展する可能性があります。このようなリスクを少しでも低減させるには、社員の意識向上と社内規定の明記が必要であり、ISMS認証を取得することが最適と判断致しました。また、ISMSは第三者機関の認証によるものであり、今まで以上にお客様からの信頼性を高められるも目的の一つです。
ISMS構築作業は、各部署代表のISMS委員会12名が中心となり行いました。日々の業務と並行しての構築作業であった為、コンサル会社との勉強会を中心に、出来る限り短時間で完成させる予定でしたが、予想以上に規格書の解釈が難解であった。一部解釈が不十分なまま構築作業を進めてしまったことで、審査の間際まで、作成した「規定・手順書」の見直し・改修を行い、結果的には相当な構築時間を要してしまいました。 運用は、事前に各部署で勉強会を開催し周知徹底させたこと。既に行ってきたものが構築のベースになっていたので、大きな混乱もなくスムーズに開始できました。
審査は厳格でありましたが、不適合項目や観察事項等の解説が大変分かりやすく、特に認識不足があった規格解釈については、丁寧に噛み砕いて解説頂きました。お蔭様で、構築時に規格書に対してモヤっとしていたものが明瞭になり、是正処置の対処に要した時間も短時間で完了することができました。
認証取得までの限られた期間で構築したシステムであり、改善すべき点が多々あると考えます。特に、資産リスク評価については、審査中に気づかされた点もあり、再度の見直しを早急に行う予定です。 県内には、ISMSの認証取得した会社はまだ数社しかありません。これを営業の面でも差別化として活用できればと考えています。今後は「情報セキュリティ面でも一流」と評価される組織作りを目指して参ります。 上記全ての情報は2007年3月に行ったインタビュー時点のものです。本掲載情報は、国際システム審査株式会社が、ISMS認証審査により審査登録証を取得された企業の了解のもと、初回認証取得時点の情報を広く公開することを目的として作成公開しています。登録証授与先組織及び国際システム審査株式会社は、本記載情報を第三者に断りなく変更する場合があります。また両社は本紙を閲覧した第三者が本紙に基づきなす行為によりこうむる一切の事象に責任を負いません。登録証取得企業の認証の維持状況は、国際システム審査株式会社までお問合せください。 株式会社つばさ情報
平成元年創業後21期を迎えるにあたり、社会の情報についての価値観の変化や、システム開発企業としての事業上の変化を踏まえてISMSの取得を目指すこととしました。 官公庁や企業などのエンドユーザ様を対象にビジネスを行う上で、情報の安全を確保することは、事業上必須事項であると理解しています。 また、今回認証を取得した第一事業部受託開発グループでは、顧客先から情報を持ち帰って開発を行うことが増えてきています。 こうしたことから、ISMSの必要性を感じて、ISMS構築・認証取得を計画しました。
まず、比較的スムーズに構築運用活動が進んだ点として次が挙げられます。 ・適用範囲のスタッフは技術者で、情報セキュリティに関しての知識をあらかじめ保有していましたから、技術用語の理解や技術的な対応について基礎から教育するといったことが必要ありませんでした。 ・管理部では、従来から書類の分類や整理を行っていたので、新たな分類作業などを最小限にできました。 ・認証取得期限を09年の3月、認証取得までの期間を半年と定めて構築運用活動を進めました。比較的短期に集中して活動をすすめたので、期限を意識したプロジェクト管理ができました。 一方、難しかった点としては次の点があげられると思います。 ・資産の洗い出し、リスクアセスメントに時間を要しました。特に、リスクアセスメント結果に対応してどの管理策をどこまでやればいいのか判断に迷いました。 ・マネジメントシステム規格に基づく社内体制構築が初めてだったこともあり、マネジメント規格特有の用語や活動について理解がなかなか進みませんでした。
まず、認証取得へ向けた構築運用活動により次の事項について効果があったと考えています。 ・これまでに行ってきた暗黙のルールを、文書化することで、実施している管理策の評価基準ができました。 ・内部監査を通じて、社内へのルールの徹底と浸透を図ることができました。 ・適用範囲のスタッフはもちろん、社内のセキュリティ意識が向上しました。 次に、認証審査自体についての感想ですが、「審査」という言葉から、税務監査や会計監査をイメージしていました。監査(審査)をする審査員と、当社との間で対立関係が前提となって審査が進められるのではないかと不安に感じていました。しかし、実際第一段階審査を受審してみて、対立関係を前提とするのではなく、協力的なスタンスで審査が進められることがわかりました。初めてこうした審査を受ける者でも、素直に応対できたので、非常によかったと思います。
まず、これまでの運用結果から、課題が見えてきましたのでこれを解決したいと考えています。たとえば、システム管理者の負荷が比較的大きいので、システム管理者の業務をいくつかのグループに分担して行ってもらえるように、業務の分担を再考していきたいと思います。 次に、今後の抱負です。 情報セキュリティ管理の枠組みはできたので、これからすこし時間をかけてより効率的効果的な運用を行うためにどんな運用形態が自社にとってベストなのか精査し、継続的なマネジメントシステムの改善を図っていきたいと考えます。 また埼玉県内の認証取得事業者は、都内に比較すると限られていますから、営業上のアピール要素として最大限にISMS認証取得事業者であるという事実を活用していきたいと考えます。 上記の情報は2009年4月に行ったインタビュー時点のものです。本掲載情報は、国際システム審査株式会社が、ISMS認証審査により審査登録証を取得された企業の了解のもと、初回認証取得時点の情報を広く公開することを目的として作成公開しています。登録証授与先組織及び国際システム審査株式会社は、本記載情報を第三者に断りなく変更する場合があります。また両社は本紙を閲覧した第三者が本紙に基づきなす行為によりこうむる一切の事象に責任を負いません。登録証取得企業の認証の維持状況は、国際システム審査株式会社までお問合せください。 |
