教学相長：ＩＳＭＳ／情報セキュリティ

　今回は、第二回目プロジェクト会議の内容をご紹介します。
　レジュメ次第は、次のような簡単なものです。
　　１、JISQ27001規格要求事項について
　　２、情報資産の洗い出し状況について

　ＩＳＭＳ構築にあたっては、JISの規格要求事項を充分に理解しておく必要があります。また、ＩＳＭＳの審査を無難に対応する上でも重要です。
　およそ、３時間かけて、箇条ごとに、要点を説明させていただきました。とは言っても、その場で全てをご理解していただくのは難しいと思いますので、今後の作業の中で、なぜ、この作業を行う必要があるかについての説明を加え、審査までには、重要部分についてはしっかり理解していただきます。

　ＩＳＭＳの本質は、規格要求事項の「1 適用範囲 1.1 一般」に記載中の次の事項だろうと思っています。
　○その組織が存立するための核の事業リスクを考慮する
　○利害関係者に信頼を与えるセキュリティを確実にする

　この説明や個々の規格要求事項に関する説明は到底ここに書ききれませんので、今後の作業を紹介する中で触れて行きたいと思います。

　あとは、宿題としていた情報資産の洗い出しの状況を確認して終わりました。
　まだ、整理できていないものの、４０人弱の会社でも、６００件以上がリストアップされていました。
　第二回目プロジェクト会議の内容は、こんなところで終わっておきます。

＝　期間限定（2008年5月31日まで）無料!!　＝

　業界団体や組合、異業種グループ、ISO27001/ISMSに関する勉強会などの中小企業の皆様を対象として、”情報セキュリティの必要性”や”具体的なセキュリティ対策”、”ＩＳＭＳ適合性評価制度”に関するセミナーや研修会等に講師を無料で派遣させていただきます。
　実際のコンサルティング、ＩＳＭＳ認証審査の経験を踏まえて、”ここだけの話”もふんだんに盛り込んで有益なお話しをさせていただきます。

＜要項＞
・講師費用は原則として無料とします。
　但し、遠方の場合は、会場までの交通費はご負担ください。
・事前にご予約ください。
・会場は主催者でご用意ください。
・概ね10社以上のご出席でご聴講ください。
　（参加者名簿の提出は不要です。）
・一回あたりの時間は60分〜90分とします。
　※夜や土・日曜についてもご相談ください。

■内容の例 （90分程度）
　-情報セキュリティの必要性
　-これだけはやってほしいセキュリティ対策
　-ISO27001、ＩＳＭＳ認証制度について
　-ISMS構築の手順、及び、押さえどころ
　-質疑・応答

　その他、詳細に関してはメールでお問い合わせください。

　遅ればせながら、第一回目プロジェクト会議のレジュメ構成を紹介しておきます。
　　１、ブリーフィングツアー
　　２、ＩＳＭＳの概要
　　３、ＩＳＭＳ認証取得までの流れ
　　４、ＩＳＭＳへの取り組み
　　　　・適用範囲の決定
　　　　・ＩＳＭＳ組織の決定
　　　　・情報資産の洗い出し
　　　　・審査登録機関の選定

　これまで、ブリーフィングツアーとして社内を拝見し、ISMSの必要性や制度の説明、今後のスケジュールを確認したお話し、「適用範囲の決定」、「情報資産の洗い出し」について述べてきました。

　あと、「ＩＳＭＳ組織の決定」、「審査登録機関の選定」を簡単に述べて、第一回目プロジェクト会議のお話は終りにします。

　先週末、Ａ社の第３回目ＩＳＭＳ認証取得プロジェクト会議を開催しましたが、こちらでは、まだ、第一回目プロジェクト会議での作業の説明をしています。
　前回説明した「適用範囲の決定」に続いて、「情報資産の洗い出し」をお願いしました。

　JIS Q 27001では、リスクを特定するにあたって「ISMSの適用範囲の中にある資産及びそれらの資産の管理者を特定する。」とあります。
　また、管理策のA.7.1.1、A.7.1.2、A.7.1.3では、資産目録を作成すること。資産の管理者責任者を指定すること。資産の利用範囲を明確にすることが要求されており、情報資産の洗い出し（もしくは、情報資産の棚卸し）は、これらの作業のための基礎情報収集となります。

　そもそも「情報資産」とは何かを明確にしておかなければなりません。
　規格には、「情報資産」としての定義はありませんが、「資産」については「組織にとって価値をもともの」と定義されています。すなわち、「情報として、組織にとって価値のあるもの」ということになります。
　”組織にとって””価値あるもの”は、ISMSにおけるキーワードです。

＜前回からの続きです＞
　前回訪問時に、即決していただいたことから、早々に、ＩＳＭＳ認証取得に向けたプロジェクトを始動することとなり、第１回プロジェクト会議を開催しました。

　まずは、会社内を一通り巡回して、情報資産の存在やその扱いなどについて伺います。前回の訪問時に、一応は見学させていただき、およそは分かっていますが、ここでは、ロッカーや書棚の保管資料、パソコン内の情報、ネットワーク構成など詳細に確認させていただきます。また、屋外からも不正な侵入の可能性の確認、入退館の現状なども伺います。

　続いて、講義として、情報セキュリティの必要性など、情報漏洩等の実態やその原因、および、経営への影響などお話します。見学の中で見出した脆弱性などを例に、Ａ社でも、いつ発生してもおかしくないことを理解していただきます。また、ＩＳＭＳ適合性評価制度の仕組みを説明します。
　この部分は、セミナーなどでお話しする内容とほぼ同じです。

　今後、ほぼ、２週間に一回のプロジェクト会議を開催し、９月中の認証取得を目標とすることも確認しました。
（１回目は１月２５日に実施しましたので、約８ヶ月間の作業となります。）

　ここから、いよいよ、具体的な作業となります。
　最初の作業として、「ＩＳＭＳ適用範囲」を決定しなければなりません。

　ISO27001/ISMS構築支援日記でご紹介するお客様（これからは「Ａ社」とします。）の当初のご要望は、「プライバシーマーク付与認定を取得したい。」とのことでした。
　訪問してお話を聞くと「委託元より預った個人情報を加工する過程で、個人情報を適切に管理したい。」とのことでした。
　それならば、「プライバシーマーク」より「ＩＳＭＳ」が適切であること説明させていただき、ＩＳＭＳ認証取得を目指して取り組むことになりました。

　なぜ、Ａ社では、プライバシーマークよりＩＳＭＳが適切か？

　先週の土曜日、ＩＳＭＳ認証取得のお手伝いをさせていただきました会社の二次審査を無事終え、軽微な不適合事項が２点だけという、大変満足度の高いＩＳＭＳの構築ができました。
　プロジェクトを開始から９ヶ月での認証取得となりそうです。
　審査員の方からも、「これまで審査した中で最高の出来だと思う。」とお褒めのことばも頂きました。
　ご担当くださった方々が真面目に取り組んで下さった成果であり、私としても、ご支援した甲斐がありました。

　ここでは、これまでの経験を踏まえて、私が考えるISMS構築上の要点をご紹介していきたいと思います。

　先月より、あらたな会社でのISMS認証取得の支援を開始しましたが、具体的なお客様に関する情報に触れないことを条件に、ISMS認証取得までの作業をブログで公開することご了解いただきましたので、実際の流れに沿って解説していきたいと思います。

　およそ、十ヶ月の長丁場となりますが、よろしくお願いいたします。