情報セキュリティ

ISMS(情報セキュリティマネジメントシステム)のキモは?

更新日:

こんにちは、宮元です。

こちらの教材が届きました、CompTIA Security+です。

資格を数年前に取得していますが、知識のアップデートのため、

最新版を購入しました。

 

さて、数年前ではありますが、某外資系IT企業で約5年間、

約700名の組織のISMS事務局長としてISMS運用(ISO27001)

に携わりました。

※ISMS = Information Security Management System

  (情報セキュリティマネジメントシステム)

 プライバシーマークと違い、会社全体ではなく、組織単位で

 ISMSの認証を受けることができる。

 

その後、残りの300名(組織)のISMS拡大にも関わり、

この会社は全社でISMSを取得することとなります。

 

ISMSは組織単位で認証取得することができ、

特にお客様と関わりの深いカスタマーサービス系の部門で

取得することも多いです。

 

既存のISMS運用も大変ですが、拡大となるとまた大変(苦笑)

認証取得する際には新しい組織の人たちの協力が不可欠で、

「なんでこんなことしなきゃいけないの?」みたいな文句を

言われたりします。

 

こんなことを日常業務をしながらやるわけですから、

気持ちはわからなくもありません。

 

⭐︎情報資産洗い出し

⭐︎リスクアセスメント

⭐︎内部監査

⭐︎BCP

⭐︎情報セキュリティ事件事故防止

⭐︎規定作成

⭐︎情報セキュリティ教育

などなど。

 

しかしながら、ISMSは官公庁の入札条件になっていたり、

大手銀行との契約条件としてISMS取得を求められたり、

止むを得ずISMSを取得する企業も多いです。

一方で、ISMSの意義を感じられずやめる企業もあるようです。

 

1年間PDCAを回し、改善改善を繰り返していくので、

組織が大きいほど負担もそれなりです。

 

ISMS事務局長の場合、私がやっていた当時はISMSメンバーが

約60〜70名(各部門から1〜2名選出)いましたので、

このメンバーをまとめること、動いてもらうことも仕事。

 

ISMSは1年間の計画を立て、それをスムーズに進めていく1つの

プロジェクトのため、いかに人に動いてもらうかがキモです。

これがまた意外に大変。

 

計画がうまく進まないと情報セキュリティ管理責任者に指摘され、

強引に計画を進めようとすればISMSメンバーあるいは従業員から

文句を言われる。

 

特に外資系は個性的な人間も多く、当たりもきつかった印象です。

外国人従業員への情報セキュリティ教育も大変でした。

日本語もわからなかったりしましたので。。

 

ISMS運用のキモは

 

「いかに人を動かすか」

プラスαで「経営者の視点、考え方」

 

です。

それ以外は知識で何とかカバーできます。

そういう意味では、幅広くスキルが身につくISMS。

 

今、情報セキュリティマネジメントに関わっている方は、

IT部門とのやりとりや従業員とのやりとりで一定のIT知識、

情報セキュリティに関する知識が必要となりますので、

資格取得はやはりおすすめです。

 

ちなみに、CompTIA Security+は日本企業ではあまり馴染み

がありませんが、グローバルでは有名な資格ですし、

外資系企業は取得を進めていたりしますので、

入門版としてもおすすめです。

 

-情報セキュリティ
-, , ,

Copyright© 情報セキュリティ運用支援・コンテンツ制作|PEERS JAPAN , 2022 All Rights Reserved Powered by STINGER.