ISMS取得支援のお仕事をいただきました

安全確保支援士　資格をもつ　フリーランスエンジニア　KuRo です。
この度、ISMS取得支援のお仕事をいただき、目下勉強中です。

ISMSってなんぞや、ということについて、簡単に記載してみようと思います。

会社のセキュリティマネジメントシステム

ISMSとは、 JIS Q27001 という規格に基づいた取り組みがちゃんと行われている企業ですよ、審査機関に認められた会社であることを示す認証制度です。
要するに「セキュリティちゃんとしてる。いいね！」というわけです。

では、どんなことがJIS Q27001 では求められているのでしょう。
簡単にいうと、

• セキュリティに対する課題や目標が洗い出せている
• 会社に存在する具体的なリスクが洗い出せている
• リスクのレベル感が洗い出せている
• リスクに対する対策が洗い出せている
• 対策を継続的に実施できている
• 対策の効果測定ができている
• 対策をブラッシュアップする体制や計画ができている

が求められています。（本当に簡単に記載）

それぞれは、規格に示される114の項目ごとに具体的に洗い出し、文書化されていることが求められますが、ざっくりとこんな感じです。

要するに、強固なセキュリティが求められるのではなく、管理体制の確立が要件

取得するには、オフィスのセキュリティレベルを上げる設備投資や、高価なネットワーク機器の導入が条件ではありません。
「継続的にセキュリティ対策を取っていける体制と具体的な目標や対応策が見いだせているか」が重要なのですね。

引き続き、どんなところがポイントなのか、また次の機会に書いていきたいと思います。