情報セキュリティマネジメントシステム（ISMS)：ISO27001は、大手ですと情報システム部門、中小企業では総務の一部署や一人の担当者で運用を担われていると思います。

　当たり前のように動いている、社内のITシステム。これが止まると業務が継続できなくなる重要な機能です。 ただし、多くの場合ごくわずかな人数で運用を担われていると思います。

　 必要で重要な職務を、少人数で対応している割には、その活躍が社内的に認識されていない事が多々あります。 そこで、今回は当社の支援事例をもとに、少しでも業務をスムーズに進められ、かつ存在意義を理解してもらう取り組みとは何か。そして、それを当社がどうサポートして実現したのかについてお話しをしたいと思います。

リスク対応計画を有効活用する

　ISO27001は、リスクアセスメントを実施する事が必須です。そのために適用範囲の業務フローをもとに情報資産を洗い出して、そのリスクと管理策を特定し、まとめます。その後、リスク対応計画を作る事が求められています。

　今まではリスクアセスメントの結果からではなく、専門的の視点や世の中のセキュリティに関する動向から情報セキュリティの弱点を克服するために資料を作ってトップにセキュリティ関連のシステムやツールの導入を働きかけていたと思います。

　以前支援した製造業の中小企業では、リスク対応計画を頻度を決めて作成し、日頃から導入したいツールや取り組みをまとめて、トップにインプットするための仕組みを定着させる事ができました。

　それはリスクアセスメントによる現状の評価結果と、それをこのまま放置してそれが発生した際のインパクトを数値化し、それをもとにリスク対応計画にまとめてトップに提案する手法に変えた事です。

　実際にこの手法を取り入れてからは、以前のやり方よりトップの理解を得やすくなり、情報セキュリティの施策をスムーズに進められるようになりました。

　当然予算の関係があり、全ての取り組みを一挙に導入する事は出来ません。その代わりこの手法は管理策の優先順位と導入時期を長期的視点でまとめて示すことで、トップがどの時期にどれだけ投資するのかという経営上有用な参考資料になりました。

　このようにトップが欲する情報を提供できるようになり、関係性も以前より良好になったとのことです。

情シス部門やセキュリティ担当者の役割、実務の内容を社内に周知する

　情報セキュリティの取り組みは、手間や面倒をかける事を社内に実施してもらうので、社内で歓迎される事はあまりありません。その点はトップが先頭にたって情報セキュリティの重要性を常に社内に周知をする必要がありますが、浸透するまで時間がかかる事もあります。

　ISO27001の7.4項では「コミュニケーション」という要求事項があります。社内外のコミュニケーションの手段、手法を決めて取り組む事が要求されています。この要求をもとに社内に自分達が何をやっているのか発信を始めたことで、徐々に双方向でやり取りが進んだケースを紹介します。

　以前、中小の建設業の会社でグループウエアを使って、情シスの担当者がIPAのセキュリティ10大脅威を取り上げるなどして発信をしていたのですが、長続きしなかった事をお聞きしました。

　何かしら社内でコミュニケーション手段が取られていないのかを調査したところ、グループウエア内で、セキュリティに関する取い合わせが毎月数件程寄せられ、対応している事を確認しました。

　すぐに対処ができクローズしている案件も多かったのですが、中には情報セキュリティ上のインシデントに該当するケースもあり、附属書A.16の「情報セキュリティインシデント管理」にも適合する取り組みにもなっていました。

　これらは双方向でのやり取りを収集した貴重な情報であり、これを使わない手はないと思い、これらの情報をもとに、毎月1回程度、グループウエアで日頃自分達がどのような事をやっているのかをブログ調でアップするようにしてもらいました。

　好反応があったかどうかは定かではなかったのですが、自分達が実際に体験した事を基に書いているだけあって、内容は具体的で、都度をテーマを持って継続して作成できるようになったとの事でした。

　情報セキュリティは経営の最重要課題の一つです。情シス部門や情報セキュリティに関わる担当者の役割は重要です。スムーズに物事を前に進めていくツールとしてISO27001の要求事項を賢く使ってみてください。