ISMS認証取得

 

ISMSのポイントは、対象組織自らが、自らの判断でリスク分析・評価を行い、その残留リスクに対してISMSでいう管理策を自ら確立し、組織の事業の継続性を維持すること、そのため組織の構成員・関係取引業者なども含めてその管理策を遵守する組織体制を自ら生み出すことにあります。

 

また、その運用体制を自ら監査し、チェックし、改善して、より一層レベルの高い、「情報セキュリティ」組織を作り出す普段の努力をすることにあります。

 

この仕組みがプロセスアプローチであり、ISMSなどのISOの規格が推奨する基本コンセプトに他なりません。以下の図がそれを図式的に表現しています。

 

(画像をクリックして拡大できます)
(画像をクリックして拡大できます)

 

 

ISMS認証に当たっては、組織の情報資産が洗い出され、それらの運用をみていきますので、組織内のビジネスフローは当然重要なポイントになります。大きな組織であれば、他部門のビジネスフローについては事前によく理解する必要がありますし、暗黙の了解や習慣で処理されているプロセスなどはしっかり把握し、できれば詳細業務フローチャートなどに落とせれば、ベストだと思います。

 

(画像をクリックして拡大できます)
(画像をクリックして拡大できます)

 

ISMSは不断の努力によって、スパイラルにプロセスアプローチによって、組織に情報セキュリティレベルを上げていくことにありますから、現実の簡単なところからステップバイステップで考えていけばよいと思います。ISMSに取り組む基本姿勢としては、以下の3点を考慮されることをお勧めします。

(画像をクリックして拡大できます)
(画像をクリックして拡大できます)