●自力で認証取得したい!!
ISOなどの各種規格の認証取得や運用を実務上全経験したことがない私にとって、ISMS管理責任者を任されることは、未知の挑戦でした。実際に取り掛かり始めたのは、2005年1月。スタート時、書店には市販された書籍もせいぜいで10冊程度という数少ないもので、どれも漠然としたイメージしかつかむことができない状態でした。
社長から、まずはどこかの講習会を受けて勉強しようと言われました。ネット上で各コンサルサント会社の講習会や、コンサルテーションのプランをかたっぱしから調べては、問合せをしました。確か十数社くらいは問い合わせたと思います。講習会は数万円のものから30万円位のものまで様々で、どのような違いがあるのか、当社は何を受講したら効率よく経費をかけずに取得できるのかなどをはっきりさせるため、納得いくまで各社に質問しました。社長の「フルコンサルではなく、自社で自力で取得したい。自社のことは自社で築き上げたい!」という強い希望を最初に聞いておりましたので、それを重視して、コンサルテーションや講座について比較検討しました。取得を考えていた部門は小さな組織でしたから、当社の組織規模にあったコンサル内容で対応してもらいたいというのが大きなポイントでした。予算や、講習内容の充実度などから最終的には数社にしぼり、その中で、問い合わせた後すぐに具体的な回答で対応して頂いたこと、まだ何も依頼していないにも関わらず具体的なアドバイスを下さったこと、低予算でできるだけ自力で取得したいという当社の意向をそのまま受けとめていただけたことが決め手となり、グローバルテクノ様に決定しました。 同年1月末、社長、ネットワーク管理者、私の3名でグローバルテクノ様の入門講義と実践講義を受講してきました。受講することで、具体的なISMS取得の流れのイメージをつかむことができました。受講後、社長が「これなら自社でいける!!」と自信を持ったようです(笑)。グローバルテクノ様の担当者様も、「コムテックスさんなら自社で取れるでしょう」と背中を押してくださり、具体的なスタートとなりました。入門講義で担当いただいた講師の先生が当社のコンサルを担当してくださることになり、「組織の規模にあったコンパクトな構築を」と繰り返しおっしゃっていただいていたのが、大きな励みでした。そのおかげで肩に力を入れずに“当社らしく”をモットーに進めることができたように思います。コンサルは、構築経緯の重要ポイントとなる4箇所でスポットコンサルをお願いしました。そのコンサルの中で、社員全員はもちろんのこと、外注委託先業者様にも参加して頂き、情報管理の自覚教育講義を先生に開いていただきました。コンサル時以外は、先生とメールで頻繁にやり取りして進行しました。
●不適合・指摘事項がゼロ件!! 成功の鍵は、社長の“強い”意欲
正直、苦労という苦労はなかったです(笑)。最高の環境が整っていたと思います。当社は、ファースト・セカンド審査共に、不適合・指摘事項がゼロ件で、先生や審査をして頂いたトーマツ審査評価機構様によりますと、非常にまれな成功実績を挙げたとのこと。先生がよくおっしゃっていましたが、まず一番大事なことは経営者が“取得に向け強い意欲”を持っていることということでした。取引先から要請されて・・・など、必要に迫られて仕方なく取得、というのでは、進行状況や社員の意識へのマイナス要因となり、取得もうまくいかないということだそうです。その点で社長は最初から強い意欲を持っていたので、社員・社内を強く引っ張っていましたから、私にとっては進行しやすい環境ができあがっていました。
●社員一致団結
そして、スムーズに進行したもう一つの理由に、全社員が非常に協力的であったということです。通常の業務で忙しいにもかかわらず、構築の各過程で協力が必要なときには、綿密で迅速な対応をしてもらうことができました。資産の棚卸は、約2週間で行ってもらいましたが、それもこと細かく資産が挙げられており、先生がびっくりされていたのを覚えています。ネットワーク管理者からは、あの忙しさでいつ作っていたのだろうと思えるほど(笑)短期間でサーバ運用マニュアルが仕上がってきました。
●ひたすら質問を繰り返した日々・・・
管理責任者の仕事として、一番の山場はリスクアセスメントでした。挙がってきた情報資産をグループ化し、それぞれに対しての脅威や脆弱性を全て挙げ、リスク評価する。とても細かく根気のいる作業で、なおかつ分析モレがないようにチェックを繰り返す・・・キツかったです。
けれども、先生の懇切丁寧なコンサルとフォローがあったので、しつこいまでの質問メールを頻繁に繰り返すことで乗り切ることができました。先生はどんなに数多くの細かい質問をしても、毎回丁寧に親身に対応してくださいました。詳細管理策についても、今思えばJIPDECの各種マニュアルで調べればよかったものを、わからないものは一つ一つメールで質問している状態でしたが、先生は丁寧に外出先からでもご自宅からでも回答して下さいました。先生の大きなフォローやバックアップも、この認証取得成功の大きな要因のひとつです。
●ISMS認証取得を無事終えて
管理責任者の私の立場としては、右を見ても左を見てもフォローがありましたから、恵まれた環境で構築を進められました。私だけでは決定できない社内のシステムに関することも、社長、専務、社員、みなさん忙しい中でも必要な時は、細かいことでも頻繁に打ち合わせを行って一緒に話し合っていけました。やはり、先生がおっしゃったように、社長の強い意欲が一番大きな成功の要因ということでしょうか。
認証取得できたことは大喜びですが、さらに不適合ゼロ件という、精度の高いISMS構築ができて、私としては非常に大きな達成感を感じています。これも、グローバルテクノ様、コンサルの先生、そして強い意欲に燃える社長、協力的で前向きな社員、全て揃っていたからだと思います。
ISMS構築運用する利点としては、文字通り情報の管理運用ルールが明確になることそして対外的な信用度アップのほかに、社内でのコミュニケーションが増えること、社員の情報に対する意識が高くなること、情報資産の整理ができること、何よりも社員全員の机の上と引き出しの中がすっきりと綺麗に整理されることでしょうか(笑)・・・と利点は様々な形で出てきました。経営者が会社全体の情報資産を明確に把握できるようになるというのも、経営者側の大きな利点になると思います。
今後は、このISMS運用ルールをしっかりと維持し、PDCAを回していくことが重要になりますから、認証取得できたところで気を抜かずに、維持管理していくことが重要だと感じています。
ISO認証取得までの経緯(管理責任者を任されて)
●ISMSがISOになる??前任者に言われたときは頭の中に?が3個くらい並びました
ISO9001や14001などはよく聞く言葉だけど。ISMSは平たく言えばISOみたいなもの!と認識していた私が、責任をまかされ、かつ国際規格に移行する。その準備を私にできるのか?という不安でいっぱいになりました。
●苦労したこと・・・・・
まずはISMSを理解することからはじめました。(今も勉強中ですが・・・・・)情報セキュリティの用語がたくさんあって、その用語の意味を理解するのに苦労しました。今でもわからない用語があると辞書で調べたりしています。 ISMSとISOの対比表を何度も読み返したり・・・・それでも自分でどのようにマニュアルなどを変更していいのかまったくわからずに、ただどうしよう・・・・という気持ちばかりでした。 このままではどうしようもない。と思い、昨年ISMSを取得したときにお世話になったコンサルの先生に思い切ってメールをし、社長にも相談し、コンサルを受けることにしました。 なるべく前任者同様、自分の力で移行したい!!と思っていましたがこのままではただ時間が過ぎていくと思いました。コンサルの先生にどういう風に変更になるかという重点部分を聞き、なんとなくですが、どこがどのように変わるのかがわかってきました。 ただ、重点を聞き、どこがどのように変わるのかがわかっただけでは何も行動することができないので、「今、何をしなければいけないのか。」を表に全部書き出し、できたものから塗りつぶしていきました。 コンサルの先生に、「コムテックスさんは100%でISMSが構築されているのでそれを100%で維持管理するのは大変だと思います。80%70%でもいいから維持管理していき、その中で直してISOに移行していけばよいのではないですか?」という言葉でちょっと気持ちが楽になりました。またコンサルの先生より「9月の維持審査に移行審査を受けるにはものすごくがんばらなければいけませんね。」という言葉もいただき、さらにがんばるぞ。という気持ちもだんだん強くなってきました。 わからない部分がでてきたら、メールで先生には何度もしつこいくらいに質問をしました。 (こんな簡単な事も・・・質問か??ということも) でも、その都度先生はわかりやすく回答してくださって本当に助かりました。 そして、前任者も書いていましたが、リスクアセスメントを見直しすることが本当に大変でした。前回の見直しでできているものに追加したり変更したり。 なんどもコンサルの先生にリスクアセスメントやリスクアセスメント結果表については何度も自分が理解するまで質問を繰り返しました。 審査直前まで本当にこれでいいのか??大丈夫なのだろうか??と不安になり夜も眠れませんでした(笑)が、先生より気楽に・・・・という言葉をいただきなんとかなるだろうと審査前日、開き直りました。 審査当日は本当に緊張しましたが、審査が終わり、審査員の先生からほぼISOに適合していると思われます、といわれたときには本当にうれしかったです。ただ、昨年は不適合・指摘事項が0だったのに今回は指摘事項が2件あったのがちょっとショックでした。 でも、ISMSって何??から始まった私の管理責任者としてのISOなので、指摘事項が2件しかなかった。ということにしようと、またここでも開き直りました。
●11月2日に審議が終わるまでは本当に毎日不安でいっぱいでした
本当にISOに移行できるのか・・・・本当はISOに適合していないのではないか・・・ そんなことばかりが頭の中をぐるぐる回っていました。 審査当日、審査員の先生じきじきに内示をいただいた時には、取得できたことが信じられず、うれしい気持ちでいっぱいでした。 ISOを取得できたのも、社長をはじめ社員みなさんのバックアップがあり、いろいろ協力していただけたおかげだと本当に感謝しています。 そして、何の知識もない私に親切丁寧に質問にも答えてくれたコンサルの先生にも本当に感謝しております。 情報化社会の中でISO27001を取得したことに安心するのではなく、社内の情報管理の徹底や運用ルールを維持していきながら改善点はどんどん改善して、当社のISOを運用していきたいと思っています。
