┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第１回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　　ＧＦＩでは先の（株）ＴＢＣソリューションズ様との業務提携を機に
　　情報セキュリティマネジメン トシステム(ISMS) 適合性評価制度の認証
　　取得に向けて取り組みを始めました。

　　情報セキュリティー分野に属する会社として、ＩＳＭＳの取得は必須で
　　あり、GFI電子割符(R)を活用した今までにないセキュリティ管理方法も
　　認証取得のプロセスの中で実現していきます。
　　今後、ＩＳＭＳ取得までの道程を実際のモデルケースとして皆様にお伝
　　えしていく予定です。

　　▼ ＴＢＣソリューションズ様との業務提携プレスリリース　
　　　　 <http://www.gfi.co.jp/PR/PR20030806.htm>

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第２回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　まず活動開始、１ケ月目は以下の作業を行ないました。
　　・推進体制を組織化する
　　　　当社の場合、「情報セキュリティ委員会」を設置し、社長をリーダー
　　　　として、各部門長と事務局による５名体制で推進することとしました。
　　・トップによる基本方針を掲げる
　　　　いわゆる「セキュリティーポリシー」を明文化して、トップ方針を全
　　　　社員に宣言します。
　　・情報資産の洗い出し
　　　　各部門単位で「情報資産」と思われるものを羅列します。それを委員会
　　　　で重複や漏れを整理し、重要度（資産区分）をつけ一覧表を作成します。
　　　　ここで難しかった点は、洗い出しとは言え、部門間で資産に対する考え
　　　　方（基準）のバラつきが生じたことです。作業前に基準をじっくり統一
　　　　しておきましょう。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第３回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　活動開始から２ケ月目は以下の作業を行ないました。
　　・リスクアセスメントの実施
　　　　前回の作業で”情報資産の洗い出し”を行いましたが、今回はこれに
　　　　対して、項目毎にＩＳＭＳの要求事項に適合したリスクアセスメント
　　　　を実施します。リスクアセスメントとは個々の情報資産が持つ「リス
　　　　ク」と「リスクに対する適切な管理策」などを識別することであり、
　　　　次のステップで行ないました。
　　　　�@資産分類　�A重要度の評価　�B発生可能性の評価　�Cリスクの程度
　　　　の評価及びセキュリティ要求事項の特定

　　各事項についてセキュリティ委員会で評価・数値化し、さらに脅威と脆弱
　　性に関して検討するわけですが、想像以上に工数がかかります。当然のこ
　　とですが、あらかじめ「リスクアセスメントマニュアル」を作成し、委員
　　会メンバーが同じ基準で考えることが肝要であるように思いました。
　　また、根本的な課題ではありますが、既存の紙ベースでの情報管理とデジ
　　タルデータの情報管理に対してその差異と課題の重要性に気づかされます。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第４回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　活動開始から３ケ月目は以下の作業を行ないました。
　　●リスクマネジメントにおける管理策の選択
　　　　前回は”リスクアセスメント”について検討を行いリスクに対して評
　　　　価・分類を実施しましたが、今回はこれらのリスクに対する管理策を
　　　　項目毎に選択いたします。
　　　　ここでいう管理策の選択とは、単にウイルス対策のためにワクチンソ
　　　　フトウェアを導入するとか不正アクセスを防止するためにファイアウ
　　　　ォールを設定するといった技術的対策を選択するという意味ではなく、
　　　　評価されたリスクに対しての処理方法全般を考慮し、適切な管理策を
　　　　選択するということであります。
　　・作業項目
　　　　�@管理目標の設定　　�A管理対策の具現化　　�B適用宣言書の作成

　　この作業のために「ISMS認証基準」や「JIS X 5080（ISO/IEC 17799）」
　　について理解しなくてはならないが、これが妙な日本語の言い回しであっ
　　たり馴染みのない言葉の羅列であったりと結構しんどかったりする（汗）

　　なお、アイ・オー・データ機器様よりハード環境面でご協力をいただき、
　　社内情報資産のセキュリティマネジメントを電子割符を使い、秘密分散
　　による運用を一部、開始いたしました。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第５回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　活動開始から４ケ月目は以下の作業を行ないました。
　　●規定類・マニュアル（手順書）の作成
　　　　前回は”リスクアセスメント”に基づいて、�@管理目標の設定 �A管理
　　　　対策の具現化 �B適用宣言書の作成を行いましたが、今回はいよいよ運
　　　　用の開始に向けて、その具体的な仕組みやルールを作成いたしました。
　　　　当社の場合、規模が大きいわけではないので、あまりT00 Much になら
　　　　ないように気をつけたつもりです。たとえば、内部監査に関しては選任
　　　　部署を設置する余裕もないので「相互監査制度」を採用することにいた
　　　　しました。

　　・作業項目
　　　　�@規定類の作成　　�Aマニュアル類の作成　　�B様式等の作成

　　なお、認証審査機関をこの時期に決定する必要があり、当社では４社の審
　　査機関様とレビューを行い、見積り書をいただくなどして比較検討しまし
　　た。内容の違いなどあり、価格面でもかなりの違いがありますので、今後、
　　取得を予定されている方はぜひ比較検討することをお薦めします。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第６回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　活動開始から５ケ月目は・・・
　　●実運用の開始
　　　　前月は主に、�@規定類　�Aマニュアル類　�B様式等を作成しましたが、
　　　　今月からいよいよ運用の開始です。
　　　　まず社員に対して規定・マニュアルの説明会を実施いたしました。
　　　　（当社の場合、少人数なので全員に説明）
　　　　特に日常業務の中で具体的にどういった点に留意しなければならないか
　　　　を示すことが肝要かと思います。
　　　　今月、１ケ月間の運用を行った後、「内部監査」を来月に予定している
　　　　ことを予め社内で告知することで、徹底を図ります。
　　　　また並行して規定、マニュアル、適用宣言書、管理策などすべての文書
　　　　の整合性を確認する作業を行いました。この作業は時間がかかりますが、
　　　　頭の整理にもなりますので、ぜひやりましょう。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第７回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　活動開始から６ケ月目は・・・
　　●内部監査の実施
　　　　前月よりＩＳＭＳの運用を開始し、約１ケ月半が経過した段階で内部
　　　　監査を実施いたしました。本来であれば、もう少し運用期間を設けた
　　　　方が良いと思いますが、当社の場合、来月に予定している審査機関の
　　　　監査があるため、やや短期間でのスケジュールとなってしまいました。

　　　　大会社であれば「監査室」といった専門部署を設置すると思いますが、
　　　　当社のような小規模の会社の場合、体力的にも余力がないでしょうか
　　　　ら”兼務”でも良いかと思われます。
　　　　規定・マニュアルをベースに「内部監査チェックリスト」を作成し、
　　　　これに基づき、各項目毎に運用の実施状況について監査いたします。
　　　　運用が「不適合」の事項について、改善を要求し、被監査部門はその
　　　　原因と是正処置について検討・報告を行ないます。
　　　　内部監査をスムーズに実施するには、被監査部門の積極的な協力が
　　　　必要であることは言うまでもありません。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第８回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　活動開始から７ケ月目は・・・
　　●外部審査機関による監査(ステージ１)
　　　　ＩＳＭＳの運用を開始し、内部監査を実施して、いよいよ外部第三者
　　　　の審査機関による監査を受けました。この監査は２段階になっていて
　　　　一般にステージ１、ステージ２と呼ばれるそうです。

　　　　ステージ1の審査の目的は情報セキュリティポリシーほか、ISMSの枠
　　　　組みに対する文書の整備状況を確認すること。もう一つの目的は、
　　　　ステージ2の審査に向けて準備状況を評価するものだそうです。
　　　　主な審査は以下の通りでした。

　　　　　1）情報セキュリティポリシー文書
　　　　　2）リスクの分析データ
　　　　　3）適用宣言書
　　　　　4）規程・マニュアル類の確認等

　　　ステージ1の監査は当社の場合、審査員２名が２日間かけて行ないました。
　　　マネジメントシステムの概要が中心でしたが、部分的には各論にも触れ
　　　られ準備不足を痛感するシーンもありました。
　　　審査結果は４段階の「Ｂ」で指摘事項の是正が良好である場合にステージ
　　　２に進むことができるというものでありました。
　　　若干、期間があいてしまいますが、他の業務との兼ね合いからステージ２
　　　を９月に設定し、現在、指摘事項の是正を行なっております。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第９回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　●ステージ１で指摘された課題事項の改善
　　　　外部第三者の審査機関による監査(ステージ１)を受け、いくつかの
　　　　課題事項を指摘されたことは、前回で報告した通りです。

　　　　今月はこれら課題事項を整理し、改善することを予定しておりましたが、
　　　　ステージ２の監査までまだ時間があるといった心の油断と決算月でもあ
　　　　り、他の業務を優先するなどの理由からほとんど手つかずのまま１ケ月
　　　　が過ぎてしまいました。大いに反省すべきことですが、実際のモデルケ
　　　　ースとして、事実をお伝えすることにしました。
　　　　ＩＳＭＳ取得に向けては「短期集中」で業務にあたることが肝要かと思
　　　　います。当社の事例のようにちょっとした気の緩みで１〜２ケ月間、作
　　　　業が進展せずに時間だけが経過してしまうことも留意する点かも知れま
　　　　せん。来月は遅れを取り戻し、認証取得に向けて加速したいと思います。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………
┃ＩＳＭＳ取得への道のり　〜　第10回目
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…………

　【今月の活動】
　　●認証機関による監査(ステージ２)
　　　ステージ１での監査指摘を整備して、いよいよ本番のステージ２を受け
　　　ることになりました。
　　　ステージ１では主に情報セキュリティポリシーの確認やISMSの枠組みに
　　　対する文書の整備状況の審査が中心でしたが、ステージ２では実際に運
　　　用がＰＤＣＡ(PLAN→Do→CHECK→Action)通りに回っているかを監査して
　　　いただきました。事務所内の情報セキュリティに対するネットワークの
　　　環境やハードウェアの構成の確認、仕組み通りに運用されているか部門
　　　長へのヒヤリングなどを実施されました。
　　　特に当社においては「暗号」ではなく、「電子割符」を活用した情報管
　　　理を行なっているため、そのユニークな点についても監査の関心事であ
　　　りました。

　　　監査の結果、不適合事項を３点、指摘をいただき、現在これらに対する
　　　是正処置ならびに再発防止策に取り組んでおります。
　　　今後の予定は１１月中旬に是正処置を回答し、認証機関による監査が終
　　　了することになります。　　　
　　　
----------------------------------------------------------------------