沖縄でISMS:ISO27001の認証取得に挑んでみた!
・自社のISMS(情報セキュリテーマネジメントシステム)構築を行うことになった・・・!
・・・
・まず規格の理解から・・・ん・・・言葉とその解釈がむずかしい・・・!
・・・
・会社の資産・情報の「完全生」「機密性」「可用性」について管理・運用のレベルを決める・・・!
・・・
・トップマネジメント・・・!?
・・・
・小規模企業は社長場合が多いw・・・!
・・・
・顧客の要求条件・・・!によって対応できるレベルの策を取る・・・!
・・・
・ISMSの管理者は・・・!内部監査の時と・・・!審査の時・・・!
・・・
・円形脱毛症になる方もいるらしい・・・!
・・・
・レベルの決め方は、顧客の要求条件と自社の事業継続の為の範囲・・・!
・・・
・あまりに細かくルールのレベルを上げすぎると・・・!
・・・
・管理・運用が大変になる・・・!
・・・
・逆にかなり大雑把で、運用改善のPDCAも回せてない実態もあるだろう・・・!
・・・
・ISMS認証をとることは、対外的信頼性を得ることはもちろん大切・・・!
・・・
・だが、自社の実態にあった強弱をつけたルールの維持改善に毎年、成長させていくことが良策と思われますね・・・!
・・・
・とは言え・・・!
・・・
・維持改善には、毎月行う社内の委員会でのP(計画)を探しD(実行)する・・・!
・・・
・C(チェック)をし A(次のアクション)・・・!
・・・
・その際、トップマネジメントへレビュー・・・!
・・・
・資産や情報の追加・変更など・・・!
・・・
・その際、お金がかかる場合もある為・・・!
・・・
・先延ばしになる場合もあり、進まないこともある・・・!
・・・
・2年前に規格に変更があった際にはコストはかかったが・・・!
・・・
・1日20万円のフィーを払い、コンサルから指導を受けた・・・!
・・・
・最近顧客から吾輩達の情報セキュリティーについてアンケートが来る・・・!
・・・
・特に昨年から変化としては、サイトの常時SSL化・・・!
・・・
・CMS(ワードプレスの様な、コンテンツマネジメントシステム)の脆弱性を狙った攻撃の対策としてのWAF(ウェブアプリケーションファイヤーウォール)など・・・!
・・・
・費用はかかるが、自社の事業継続(事故=インシデントを起こさない・起こさせない)対策が必要となった・・・!
・・・
・このサイトも常時SSL化している・・・!
・・・
・県内企業のサイトを見てみると認識が薄く、ブラウザーのURLの横に「保護されていない通信」とネガティブ表示されている・・・!
・・・
・取得時の話に戻るが・・・!
・・・
・組織の事業部門ごとに、規格に合わせたルールとその運用レベルを決めた・・・!
・・・
・規格は130あり、一個一個すべて決めて、運用して行った・・・!
・・・
・その後、実際に運用、内部監査、マネジメントレビュー、是正、改善・・・!
・・・
・そして約10ヶ月後、審査を受け構築・規格にそって運用されてることについて認証を得る事ができた。
・・・
・かかった費用1:構築コンサル費用・・・○○○万円w・・・!
・・・
・かかった費用2:環境改善の為の備品等費用・・・○○○万円w・・・!
・・・
・合計=かなりかかったw・・・!
・・・
・最新の規格では、社外にあるクラウドサービス活用時のルール決めなど・・・!
・・・
・新たな項目も対策することとなった・・・!
・・・
吾輩は・・・!ISMS:ISO27001の認証取得に挑んでみた!
