ISMSってどんなもの?
ISMSの社内勉強会を開催
ISMSの運用に初めて携わると「ISO規格ってなに?」「ISMSはどうやって構成しているの?」「ISMS担当者の仕事は何?」という疑問を持つ方も多いと思います。そこで今回、資料化することで、同じような疑問を持つ方にも理解してもらうこと、また社内でISMSへの意識向上を目的として、社内でISMSの勉強会を開催しました。
今回のブログでは、その内容を共有します。
講義内容
「そもそもISMSとは何なのか」というところから始まり、ISMSの目的と構築方法の例を中心に講義しました。ここでは、講義内容を抜粋してご紹介します。
若手社員にも理解しやすいように、聞き慣れない用語はできるだけ使わず、噛み砕いた表現を意識して資料を作成しました。
作成した資料は、このブログの最後に掲載しています。
ISMSとは
■一定の基準をもとに策定したルールのこと
■一定の基準は「ISO規格」に準拠している
■評価機関(認証機関)が一定の基準を満たしているかを確認する
■一定の情報セキュリティレベルを達成することを目的としている
ISMS構築の例
事例
ISO/IEC 7810 クレジットカードの生産にあたって
※構築基準の例としてイメージができるように、ISMS規格である「ISO/IEC 27001」ではなく「ISO/IEC 7810」を使用して表現しています。
要求事項(基準)
■クレジットカードはプラスチックで生産しなければならない
■大きさは「85.6mm×53.98mm」で生産しなければならない
ISMS 社内ルール
■クレジットカードの材料はメーカーAから材料Aを仕入れること
■規格に一致しない大きさのカードが生産された場合は不良在庫として出荷しない
■年に1回、抜き打ちチェックを行い検品自体の正当性を証明する(内部監査)
審査/評価の観点
■ISO規格の要求事項を満たすルールを策定しているか?
■ISMSの活動を行っているか?
ISO規格改定でやらなければならないこと
ISO規格の改定に伴い、「〇〇しなければならない」という要求事項が統合されたり、追加されたりして従来の「114」個から「93」個の要求事項に変更となりました。
■新規格に従ったルール決め
・セミナーへの参加や勉強を行い知識を身につける
・定例会だけではなく、backlogやチャットツールを活用して検討を行う
■ドキュメントの更新
・社内ドキュメントを新規格用に変更
■運用レベルでの最適化
・めんどくさい申請の撤廃など
まとめ
■ISMSとは、セキュリティに特化したルールと基準を満たしているかを確認する制度のこと
→ ISO規格に従って社内のセキュリティルールが構築されている
■ISO規格は身近なところにたくさんある
→ クレジットカードや標識など
■ISO規格改定に伴う対応は結構大変
講義スライド
社内勉強会の講義で使用したスライド資料です。
関連リンク
▼過去の社内勉強会ブログはこちら
その他のブログのバックナンバーはこちらをクリック!
