ISO27001の維持審査がありました

昨年、情報セキュリティマネジメントシステム(ISMS)の国際基準であるISO27001認証を取得しまして、今年は取得から1年後の維持審査でした。

この長ったらしい情報セキュリティマネジメントシステムって何?とお思いの人がおられると思いますが、システム開発会社として結構大事なものなので、今回はその話題を取り上げることにします。

日本国内の規格と言えば、JISが有名です。

JIS=Japanese Industrial Standards 日本工業規格

 

 

工業標準化法に基づいて日本工業標準調査会が認める規格で、主に工業製品の標準化についてその役目を担ってきました。

JISは当初工業製品の標準化を進めていましたが、産業構造が変化するにつれて、カバーする範囲を広げていきました。

JIS Q 15001に基づきプライバシーマークの使用が始まったのは1998(平成10)年からです。

プライバシーマークを取得している企業は、個人情報の取り扱いについて、JIS Q 15001に基づいてしっかりやってると認められることとなります。

個人情報の流出が話題になることがある昨今では、プライバシーマークを取得しておくことに注目が集まっています。

しかし今や、グローバルな時代です。

日本国内の規格だけではなく、世界を見据えていくべきとの考えが徐々に浸透してきた結果、世界基準であるISOに準拠する動きが出てきています。

工業製品を製造し輸出するのであれば、やはり国際的に認められた規格への準拠が求められるからです。

ちなみに、

ISO=国際標準化機構(International Organization for Standardization:ISO)が制定する国際規格

です。

工業に関する規格だけでなく、個人情報の取扱を含む情報のセキュリティに関しても、ISOの規格があります。

ISO27001が、その規格の番号です。

このISO27001、実は個人情報の取扱だけでなく、企業・団体の中にあるあらゆる情報の取扱について定められています。
企業・団体の全体的な情報のセキュリティについての規格なのです。
つまりは、プライバシーマークよりも、取得のハードルが高くなっています。

奥進システムは、2014年にプライバシーマークを取得しました。

システム開発会社として、個人情報の取扱をちゃんとしているというお墨付きをいただく意味がありました。

しかし、2年後の更新時期に、ISO27001に切り替えることになります。
なぜか? 個人情報の取扱に限らず、会社全体として保持している情報資産を洗い出し、その管理について規定し実行していくことについて評価し認証を得ることが、今後の当社の企業活動に有益であるとの判断があったからです。

あまりにカタい話なので、これについては大体このへんまでにしておきますね。

2016年に、半年以上の準備期間をかけてISO27001を無事取得しました。

 

その一年後に、維持審査というものがあります。

取得から一年経ったけれど、規格通りに日々運用されていますか~というチェックが入る訳です。

取得時には、すでに認証に必要な情報マネジメントはなされているとの評価をいただいたのですが、正直なところ担当者は規格全体を把握しているとは言い難い状況でした。
いいと言われても、それが本当にいいのか、どういいのかが、よくわかってなかったのです。

一年後の維持審査までにはその状況を打破すべく、必要なドキュメントを見直したり手直しをしたり、社員研修を行ったり、いろいろとすることがありました。

情報セキュリティの観点から改善すべきものっていろいろありまして、しかし改めて考え、また維持審査時に確認すると、ISMSの運用における改善って、要は仕事全体の改善と同じやーん。

なんだか取得から一年たって、やっと本当にスタートラインに立ったような気がしています。
何のスタートかと言いますと、会社を情報セキュリティの観点から、改善しているための、です。
遅いけど…。

そんな訳で、維持審査が終わった時から、次の維持審査に向けて更なる改善が始まる訳です。

本来業務をこなしながら、ISMSの維持と運用をやっていくのは、楽ではないことです。

完璧にやるなんてもう、なかなか…。

でも、諦めずに地道にこつこつとやっていくことなんでしょうね。

これからもがんばりまーす。