先日ISMSの一次審査があり、結果は無事通過しました。
書類等の多少の軽微な修正があっただけで、大丈夫でしょうという感じでした。
一次審査を受けてみて感じたことがあるので、今回はそれを記事にしていきます。
なお、内容については個人的な意見である事を予めご了承ください。
一次審査の内容
ISMSの一次審査は書類の確認(内容の詳細チェックは二次です)及びISMSの規定を理解度チェックでした。(実施するところによっては多少違うのでしょうか?)
私自身はセキュリティエンジニアとして、そこそこ長い間やってきていますので、書類や内容は自信がありました。(書類作成は大変でしたが・・・)
なので、質問は全然問題がありませんでした。この考え方でセキュリティは担保しています等、淡々と答えていくことができました。
また、ISMS用語で苦戦する人もいるかと思いますが、審査員は基本的には誰でも理解できる内容で話すことが決められているようで、難しい内容は出てきません。(わからない単語があった場合は聞くこともできるようです。)
多少作成した資料に誤字があったのが反省個所です。(誤字脱字のせいで指摘事項となるわけではなかったです。)
一次審査を受けてみて
資料としてIPAや経済産業省の以下の内容を参考にしていました。(リンクを張っています)
・情報セキュリティ管理基準 (平成28年改正版) – 経済産業省
※経済産業省のはそのまま使用するにはかなり厳しく設定されているため、必要なものだけ取得するような形にしています。(+αは自分たちで追加します。)
審査時に資産管理台帳について言及があり、現状の組織の状況からIPAの資産管理台帳を無理に使用しなくてもいいのでは?と頂きました。
理由としては、組織としてまだ10人にも満たないような形なので、目の届く範囲で対応ができる。
IPAの資産管理台帳は非常によくできているが、運用が大変なので、いずれ運用が形骸化してしまう。
形骸化するくらいであれば、もう少し簡略化したものでやった方が良いとアドバイスを受けました。
個人的に「なるほどな~」と思いました。実際にIPAの資産管理台帳を使用しての作成は非常に大変です。
組織がまだ小さく、管理するものがまだ少ない状態だったので、よかったですが、これが100人を超える組織、事業所も複数の組織でやるとなると、非常に大変だなと思います。(専任じゃないと厳しそう。)
ISMS審査のイメージとして、形式に沿ったもの作成して一個づつ確認していくものかと考えていたのですが、実際に審査を受けるとそういったものではなかったです。(あくまで私が受けた審査ですが。)
従業員が100人を超え、事業所も複数に分かれるような組織であればまた違うと思いますが、現状に最適なセキュリティを考えるのは重要だなと思います。
個人的には下手なセキュリティのコンサルティングよりもためになる話を聞けたなと思いましたね。(コンサル雇ったことないですが・・・)
お堅いところの参考にするものいいのですが、実際に運用(PDCAサイクルの)が可能なやり方を考えることは重要だなと感じました。
所感
ISMSの認証取得に大きく前進することができました。二次審査もありますが、恐らく問題なく通るのではないかと思っています。
今後受けようと考えている方はまずは以下の3点がかなり大変なので、まずはこれから対応していくことをお勧めします。
・ISMSマニュアル
・適用宣言書(ドメインA5~A18についてのもの)
・資産管理台帳
この3つを作成していくと、それに付随して必要な手順書や記録を把握することができるかと考えています。(例:力量管理とか継続目標とか諸々)
また、認証時にはマネジメントレビューとリスクアセスメントを行うことが必須ですので、お忘れないように!
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
なお、前の記事でお勧めした以下の本は非常に参考になったので、今後受ける方は購入を検討してみてはいかがでしょうか?
コメント