支援事例
CASE
ISMS認証取得・運用体制構築支援
Challenge
背景・課題
大手企業との新規取引開始にあたり、情報セキュリティマネジメントシステム(ISMS)の認証取得が必須要件として提示された。社内には経験則に基づく暗黙的なセキュリティルールは存在していたものの、情報資産台帳、リスクアセスメント結果、セキュリティポリシー等の明文化されたドキュメントは皆無。認証取得に向けた推進体制も、専門知識を持つ人材も不在という、実質ゼロからのスタートだった。
Solution
アプローチ
ISMS 推進委員会を組成し、コンサルティング会社の選定・契約、情報資産棚卸し、リスクアセスメント、約30種の規程・様式整備、内部監査員の育成と監査実施、第一・第二段階審査対応までをリード。約6ヶ月で認証取得を達成。
プロジェクト背景
大手取引先との取引要件充足に向け、ISMS(ISO/IEC 27001)認証の新規取得から継続的な維持運用体制の構築までを包括支援。
アプローチ
Phase1:推進体制構築
プロジェクトオーナーとして経営層を巻き込み、ISMS 推進委員会を組成。複数のコンサルティング会社を比較評価し、自社の規模・業態に適したパートナーを選定・契約。コンサルタントとの定例会議体を設計し、推進スケジュールを策定した。
Phase2:現状分析と設計
情報資産の棚卸しを実施し、資産台帳を整備。リスクアセスメントを通じて、対処すべきリスクの優先順位を明確化。業務実態に即した適用宣言書を作成し、過剰でも過小でもない「身の丈に合った」管理策を選定した。
Phase3:規程・運用整備
情報セキュリティ基本方針を頂点とした規程体系(基本方針→対策基準→実施手順)を設計・文書化。インシデント対応フロー、アクセス管理規程、委託先管理規程等、約30種の規程・様式を整備。社内メンバーとのワークショップを通じ、現場で実際に運用可能なルールへとブラッシュアップを重ねた。
Phase4:審査対応
内部監査員の育成と内部監査の実施、マネジメントレビューの運営を支援。第一段階審査(文書審査)、第二段階審査(実地審査)の準備と当日対応をリード。指摘事項への是正対応も迅速に完了させた。
成果
プロジェクト開始から約6ヶ月で ISMS 認証(ISO/IEC 27001)を新規取得。大手企業との取引を予定通り開始し、取引先からの信頼獲得に成功。認証取得後も維持審査対応を継続支援し、PDCA サイクルに基づくセキュリティレベルの継続的改善を実現。構築した運用体制は、その後の事業拡大や新規取引先獲得においても、セキュリティ面での競争優位性として機能している。