基礎編Part1では、ISMS認証取得の準備とプランニングについて解説しました。
Part2では、具体的な体制の構築から文書の整備まで、実務担当者が直面する実践的な課題に焦点を当てて解説していきます。
1. マネジメントシステムの確立
1-1. 基本方針の策定
ISMSの基本方針は、組織の情報セキュリティに対する姿勢を示す重要な文書です。
経営層の強いコミットメントを示すことで、組織全体の取り組みを促進します。
基本方針には、組織の目的に沿った方針表明、法令・契約要求事項の遵守宣言、具体的な目標設定、経営層による署名を含める必要があります。
特に注意すべきは、「実現可能で測定可能な目標」を設定することです。
例えば、「年間のセキュリティインシデント発生件数を20%削減」「従業員の情報セキュリティ研修受講率100%達成」「重要情報資産の棚卸しを四半期ごとに実施」といった具体的な目標を設定することが望ましいです。
一方、「セキュリティレベルの向上」(測定困難)、「従業員の意識向上」(具体性に欠ける)、「完璧なセキュリティの実現」(非現実的)といった目標は避けるべきです。
1-2. 体制と責任の明確化
効果的なISMSの運用には、明確な体制と責任の割り当てが不可欠です。
基本的な体制構築として、経営層は基本方針の承認、必要な資源の提供、マネジメントレビューの実施を行い、ISMS管理責任者は全体統括、経営層への報告、改善活動の推進を担います。
また、各部門の責任者は部門内での周知徹底、実施状況の確認、インシデント報告を行うといった役割分担が求められます。
2. 文書体系の整備
2-1. 必要文書の作成
ISMSでは、体系的な文書管理が求められます。
文書は、方針(ポリシー)、規程類、手順書・マニュアル、記録類といった階層構造で整理していきます。
・方針(ポリシー)には、情報セキュリティ基本方針や対外公開可能な要約版などがあり、経営層による承認が必要です。
・規程類には、情報セキュリティ管理規程、リスク管理規程、インシデント対応規程、アクセス制御規程、委託管理規程などがあります。
・手順書・マニュアルには、パスワード管理手順、バックアップ手順、インシデント報告手順、監査手順、教育訓練手順などがあります。
・記録類には、リスクアセスメントシート、資産目録、教育記録、監査報告書、インシデント報告書などがあります。
実務のポイントとして、既存の社内文書がある場合は、それらを最大限活用しますが、ISMSの要求事項を満たしているか、十分に確認する必要があります。
2-2. 文書管理システム
作成した文書を適切に管理するためのシステムを構築します。
文書管理においては、
・文書のライフサイクル管理:作成→審査→承認→配布→改訂→廃棄、各段階での責任者の明確化、履歴の管理方法
・文書の特定方法:文書番号体系の確立、版数管理のルール、最新版の識別方法
・アクセス権限の設定:閲覧可能範囲の明確化、編集権限の制限、外部提供時の管理
といった点が重要となります。
3. 導入準備と教育
3-1. 従業員教育の実施
ISMSの効果的な運用には、全従業員の理解と協力が不可欠です。
教育プログラムの設計においては、
・階層別教育
経営層向け:経営的視点からの重要性
管理職向け:部門としての対応方法
一般従業員向け:日常業務での注意点
新入社員向け:基礎知識の習得
・教育方法
集合研修
eラーニング
ケーススタディ
ハンズオン演習
・理解度の確認
テストの実施
アンケートの活用
実践的な演習
などを行うことが重要です。
3-2. 運用テスト
本格運用前に、小規模な範囲でテスト運用を行うことをお勧めします。
テスト運用においては、テスト範囲の設定、モデル部門の選定、テスト期間の決定、評価基準の設定、課題の洗い出し(運用上の問題点、文書の不備、システムの課題)、フィードバックの収集(現場の声の集約、改善提案の募集)、運用負荷の評価といった点を考慮する必要があります。
まとめ
ISMS構築の実践段階では、文書は「使える」ものを作る、教育は「実践的」な内容を重視する、運用は「現場の負担」を考慮するといった点に特に注意が必要です。これらの要素をバランスよく整備することで、効果的なISMSの運用が可能となります。
次のステップに向けて
次回の運用・維持編では、PDCAサイクルの運用や継続的改善について解説していきます。
ISMS認証取得でお困りの方へ
体制構築や文書整備でお悩みの方は、Synplanningにご相談ください。文書体系の整備支援、教育プログラムの策定・実施支援、運用体制の構築アドバイスなどのサポートを提供しています。まずは無料相談で、貴社の課題を整理させていただきます。