ニュートンの情報セキュリティマネジメントシステム

リスクマネジメントに携わるコンサルティング会社として、お客様の情報は生命線とも言えるものであり、その信頼に応えるためには、情報の機密性、完全性、可用性を維持することが必須条件です。さらに、お客様をご支援する立場から、ISMS(情報セキュリティマネジメントシステム)を自ら有効に運用しているということを立証する必要があります。これらの理由から、当社のIMS(統合マネジメントシステム)の中で唯一、第三者認証(ISO27001)を取得し維持しています。

情報セキュリティマネジメントの概要

対象拠点 本社
対象事業 コンサルティング事業
対象者 全従業員
対象プロセスとセキュリティ・ルール

201605040713_1-600x0.png

ISMS個別のルール

当社の情報セキュリティルールはISO27001の付属書Aに示された管理策に基づいて定められ、その内容は適用宣言書にて記述されています。ルールは定期的または必要に応じて見直しを行い、常に最新の状態を維持しています。以下に、それらの中でも特に重要なものをご紹介します。

IS作業・変更依頼

情報セキュリティに関する作業、変更依頼は共通フォームを介して申請→リスクアセス→承認→作業実施→記録という手順にて行われます。これによりシステム等の変更手続きに伴うリスクの予防処置を負荷をかけずに運用しています。

教育

全ての社員は入社時に下記カリキュラムに従いISMS教育を受講します。

1. ISMS個別ルールの理解

ISO27001の管理策に基づいて策定されたもの

2. 重要情報の定義

リスクアセスメント結果に基づいて定義されたもの

  • コンサルティング業務を通してしか知りえない顧客の情報
  • 当社の情報システム管理に関わる情報
  • 契約に関連する情報
  • 個人情報
  • 当社の経理・財務に関わる情報
3. セキュリティ事故の定義
  • 重要情報の漏えいにつながる事故
  • 業務継続が損なわれる事故

担当者の声

私はISMSチームとして、ISMSの目的である「情報漏洩を防ぎ、お客様に安心して頂くこと」を全うするために、弊社の情報セキュリティールールの社内教育と事故・障害発生のモニタリングをしています。

弊社はおかげさまで事業が順調に伸び、社員数は年々増加しています。「社員の増加により、管理・教育が行き届かなくなり事故・障害が発生した」と言われないように、

  • 事故・障害発生を未然に防ぐ活動として、社員ひとりひとりがルールを理解し守っていること
  • 事故・障害発生が連鎖し、会社全体に波及しないように危機意識を高めること
  • を大切にしています。

弊社従業員は全員は入社時に、ISMSの教育研修を受けていますが、それだけに留まらず、

  • 毎週月曜に、事故・障害とヒヤリハットの発生確認と共有
  • 年2回、ISMS勉強会の開催
  • その他随時、マンツーマンの相談・指導

を行っています。

最近の勉強会では、サイバー攻撃とハッキングをテーマに実施し、サイバー攻撃の現状を知るとともに、監視ツールの使用体験をし、「情報漏洩を防ぐ」ことについて共有しました。次回の勉強会では、勉強会に参加したものからの意見や発見された課題に対し、解説をし、さらにワークショップを交えて理解度を上げていきたいと思います。

担当者の声

「お客様や自社のビジネスを守るためのISMSを推進したい」
それが、ISMS担当者としての私の思いです。

情報セキュリティの目的は、お客様に安全と安心を提供するとともに、自社のビジネスを守ることです。ISMSも同じです。教科書的にいえば「情報資産を守る仕組み」がISMSであることには間違いありません。しかし、守ることにばかり意識が向き、その根底にあるビジネスの視点を失うと、ISMSはビジネスを妨げるものになります。

キャビネット奥に仕舞い込まれ誰も読まない認証取得のためだけの文書、業務の実態から乖離しているために誰も守らない細かすぎるルール、毎年代わり映えのしない内容の一方通行のセキュリティ教育、新しいビジネスを企画してもセキュリティ的な理由からNGを連発する情報セキュリティ管理部門……。

そんなビジネスの視点を失い形骸化した「拘束具」のようなISMSではなく、お客様や自社のビジネスを情報漏洩やサイバー攻撃等のリスクから守る「鎧」のようなISMSを構築・運用していきたいと考えております。

お客様や自社のビジネスを守ることが、従業員やその家族を守ることにもつながると信じて。