1
/
5

ISO27001を取るにあたってどんな感じだったか

 どうもみなさんこんにちは。株式会社イプシロンソフトウェアで代表をやっております、渡部です。弊社ではISO27001という情報セキュリティマネジメントシステム(ISMS)の国際規格の認証を通っておりまして、今日はそのあたりの話をしてみたいと思います。どっちかというとマネージャーとか経営者向けの話になっちゃいますかね。現場の人にはちょっと眠たい話にはなっちゃうかもしれませんね。かくいう私ももともとプログラマとして普通に働いておりましたので若干こういう決まりだか認証だかそういう話になってくると若干眠t ゲフンゲフン、そうですね、元々私自身もエンジニアとして働いておりましたので現場の気持ちもよく分かります、ですので働きやすい環境が整っていると思います(必死)。弊社では一緒に働いてくれる仲間を募集しておりますのでご興味がある方は一番下のリンクより是非お話を聞きに来てください。

ISO27001ってなんですか?

 ISO27001とは情報セキュリティマネジメントシステム(ISMS)について定めている国際規格で…ってもうこの話の段階でだいぶご覧になっている方は眠くなっているはずですね。ダメ、ダメ、ブラウザバックしないで、ね、ね?もうちょっと話を聞いていってください、お願いします。すっごい乱暴で雑に言っちゃえば「Pマークっぽいものの国際版みたいな感じ」です。結構違うけど。このあたりの違いも含めてご興味ある人はググって調べてみてください。

 今回は「で、ぶっちゃけISO27001って取るの大変なの?メリットってなんなの?」みたいなところに絞ってお話してみたいと思います。

ISO27001の認証通るのって大変ですか?

 ぶっちゃけた話、「まともに運用されているIT系会社なら比較的簡単に取れる」みたいな感じかなと思います。さすがに、「個人情報が入ったデータベースのダンプデータ入れたUSBメモリ持ったまま はしご酒」みたいなことやってたら受からないと思いますが、まともなIT企業だったらその辺りきちんとされてるはずなので問題はないはずです。使われていないアカウントはちゃんと権限を棚卸しするとか、全員にAdministratorを割り当てないとか、OSのアップデートをきちんと行うとかそういう当たり前のことをきちんとやっていれば働き方を大きく変更することなく取れるんじゃないでしょうか。

 ただ、普通のIT企業とかでも普段あんまり意識していないポイントが認証取得には必要になってきます。そのあたりをもう少し深掘りしてご紹介できればと思います。

つらかったポイント(1) : 書類仕事が だいぶ多い

 なんといっても一番つらかったのは書類仕事が多かったことです。見たことも聞いたこともないような書類をどう書けばいいかとかさすがに分からないので、コンサルの方にヒヤリングしてもらいながら一緒に作っていくことにしました。書類を作る中で内部的な気づきも得ることができたので、まぁぶっちゃけ面倒ではありますが 実際に作ってみてよかったなと感じています。

 たとえばうちの会社とかだと、多くのIT企業がやっているように情報セキュリティポリシーとかがあって外部に公開しています。

つらかったポイント(2) : BCP

 BCPというのは事業継続計画の略称でございまして、IT関連の現場で働いていてあんまり耳にしない言葉なのではないかなと思います。例えば自然災害やテロなどが起こって事業の継続性が危ぶまれた場合に、そこからどうやって事業を復旧するかみたいな計画になります。代替えのオフィスをどうやって用意するのか、みたいな計画を用意するわけです。

 昨今ではわりとIT企業の中ではリモートワークが一般化してきましたね。弊社でもリモートワークのための内部規定みたいなのがあってリモートワークしたい人はできるみたいな感じになりました。そういう意味で言えば固定のオフィスがある場合に比べて復旧しやすい環境がだいぶ整ってきたかとは思うのですが、IT企業にとっての何よりの資産はオフィスではなくてデータです。

 災害が発生しデータが物理的になくなってしまった場合にバックアップからどうやって復旧するかみたいな設計は普段あんまり考えないので、ISO27001を取るにあたって深く考えさせられるポイントでした。当然、今までもデータのバックアップは取っていました。ただ、バックアップと本データが物理的に近くにあると火災で両方消失、みたいなことも考えられるわけです。確かに。だからどういうワークフローを組んでどうバックアップしていくのかは考えるのが大変ですね。あまり凝ったことをやりすぎると作業量もお金もかかってしまいますが、バックアップはあくまでも保険であって普段はあまり役立つことはありません。そのあたりのバランス感覚も重要になりそうですね。

ISO27001を取ることのメリット

 ISO27001を取得したことについては社内外に対してメリットがあるかなと思っています。まず社外向けの話で言えば、商談しているときに「ISO27001取っていますから適切に情報管理等行なえますよ」みたいなお話をさせていただくと商談相手に納得感や安心感をもってもらいやすいのかなと感じています。

 社内に対しては一人ひとりの意識が高まっているなと感じています。例えばうちの会社ではセキュリティホールのニュースが出た場合にチャットに投稿して情報共有するみたいなこととかが自発的に行われるようになっていて良い文化だなと思っています。

Invitation from 株式会社イプシロンソフトウェア
If this story triggered your interest, have a chat with the team?
株式会社イプシロンソフトウェア's job postings
1 Likes
1 Likes

Weekly ranking

Show other rankings
Like 渡部 晋司's Story
Let 渡部 晋司's company know you're interested in their content