ISMS（情報セキュリティマネジメントシステム）取得における効率的な方法論

弊社のお客様は、情報セキュリティに関心を持っておられる企業が多いようです。弊社は、BS7799およびISMSをダブル取得しております。もともとは、社内運営のために取得いたしましたが、顧客企業様からの要望が多いため、コンサルティングの準備をしてまいりました。このほど正式にリリースいたしましたので、今日はこのことに触れてみたいと思います。今日の内容は、どのようなプロジェクト組織を作るか？ また、初期においてどのように社内浸透を図るかという点です。

ISMSとは何か？

ITの急速な発達と浸透の中で情報伝達の方法もスピードも大きく変わり、新たな経営リスクが生まれています。

コンピュータウィルスの問題やホームページの改ざん、個人情報の漏えい、不正アタック、従業員による機密情報の持ち出しなど一つ一つ挙げていけばきりがありません。このような背景のなか、組織が重要だと考える情報に対して管理策を施し、情報漏えいや改ざんなどを防ぐための管理の枠組みが必要だという考えから生まれたマネジメントシステムがISMSです。弊社の場合、ISMSを構築したことでセキュリティトラブルは確実に減りましたが、それよりもすばらしいと思うのは、経営者がセキュリティ管理状態がどのようになっていて問題点はどこにあるかが把握できるようになったことです。

どのようなプロジェクト組織を形成するか？

ISMSを構築しようとする際に、まず最初に立ちはだかる問題は認証取得チームをどう編成するかです。
なぜならば、プロジェクトの成功は、コア組織をどのように編成するかにかかっているからです。

もっとも効果的かつ効率的な方法は、システムの専門家とともに、可能であればISO14001の構築担当者をISMSのプロジェクト組織に加えるということでしょう。意外と思われるでしょうが事実です。もし疑念がありましたらISMSの要求項目をISO14001の構築担当者に見せてください。理解できるはずです。

なぜ、そのようなことが起こるのでしょう。世界のマネジメントシステムの本質に関わる部分でありますが、実は構築プロセスに大きな違いがないのです。ISO14001を取得していなければ、ISO9001でも構いません。

ISMS構築において、初期段階でもっとも難しいテーマは全体像が見えないことや構築への道のりが理解できないことにあります。さらにISMSの要求事項をどのように解釈するかにあります。この項目に関しては、いかにシステムの専門家といえども苦しむはずです。技術的なことは理解できても、いかにマネジメントシステムを構築するかという面では素人だからです。逆に、ISO14001や9001の構築担当者は情報セキュリティに関しては素人でも構築ノウハウに関してはすでに専門の領域にあります。これらの内部資産を活用することによって効果的かつ効率的に構築ができるという考えです。

実際、私がBS7799やISMSの要求事項を初めて見たとき、「なんだ、ISO14001の構築方法と同じではないか」と思い、ISO14001の構築担当者をプロジェクトメンバーに入れた経緯があります。

初期段階において、どのように社内浸透を図るか？

ISMS取得によって、情報セキュリティが万全になるというわけではありません。一定のレベルまで達した程度と考えるべきです。運用をしながら、継続的改善をすることこそ真の意義があります。その場合最も難題は組織の構成員が理解し、運用に参加しなければならないということです。多くの企業が取得しても運用で苦しんでいるのは、運用ノウハウがないからです。また、運用ノウハウを構築するためには一定の時間と忍耐がつき物であるということを理解していないからです。

今日取り上げるテーマは、初期段階における社内浸透です。
弊社がよく活用する手段は、社内イントラです。掲示板を活用し、取得への宣言を私が行うとともに、プロジェクトメンバーが取得の必要性や段取り、構築の進捗情報を常に提供すると共に、構成員からの質問を積極的に受け入れそれに答えながら社内浸透を図っていきます。最初は関心がないスタッフも次第に関心を寄せ、構築フェーズから運用フェーズに移るときには、各スタッフは全体像を理解し、自分の関わる範囲で何をしなければならないか概ね理解していたという実績があります。

社内浸透を一回や二回の勉強会で達成することは困難です。教育を受ける立場の人たちは関心すら沸かないと思います。むしろ現状の業務のさらなる仕事が増えたと煙たがられるのが関の山です。大切はことは、難しがらずに初期段階からこまめに情報を提供しつづけることだと断言します。