はじめに
こんにちは。Product Unit SINIS for Instagram開発チームの諸石です。 今回はISMS認証取得の対応を10月に行いましたのでどんなことをやったのかお話しします。
きっかけ
もともとWebエンジニアとしてプロダクトの開発を行っていましたが、他事業部からの依頼を受けて開発や業務改善を行うことが増えてきました。そこから情シス業務も興味が沸き、1on1で上長と話をしたところ、今年はISMSの規格移行があるということでやってみないかという話を受けてやってみました。
ISMSとは?
ISMSとは情報セキュリティマネジメントシステムのことで、自社の情報セキュリティに対する対応を管理運用する仕組みのことです。 ISMSを構築運用する規格として「ISO/IEC 27001:2022」という国際規格と「JIS Q 27001:2023」という国内規格があります。この規格の要求事項に沿って運用し、審査を受けることでISMS認証を取得することができます。もともとテテマーチが取得していた規格は国際規格「ISO/IEC 27001:2013」国内規格「JIS Q 27001:2014」でしたが、新しく出た国際規格「ISO/IEC 27001:2013」への移行を2025年10月31日までに行う必要がありました。
どんなことをしたか
新規格の学習
まず、ISMSとはどんなものか、古いルールから新しいルールに移行するためにどんなことが必要か学習するところから始めました。具体的にはもともとISMSのコンサルを受けていた企業から提供された動画教材サービスで新規格と旧規格の差分を学習したり、ISMSに関する本はたくさん出ているのでそれを読んだりしました。
新規格と旧規格の差分を各種ドキュメントに反映
MSマニュアル、情報セキュリティマニュアル、セキュリティハンドブックという社内のISMS運用ルールやセキュリティルールがまとまっているドキュメントに新規格で追加された施策に対応するルールを追記をします。どのような運用だったら規格を満たせるかルールを考えて追記しますが、既にあるルールでもカバーできる場合があるので追記する前にしっかりMSマニュアル、情報セキュリティマニュアル、セキュリティハンドブックの内容を把握しておく必要があります。
新規格として追加した施策の対応
本審査までに修正したISMS運用ルールやセキュリティルールを運用して、修正したドキュメントや運用状況を確認し改善する必要がありました。新しく更新したMSマニュアル、情報セキュリティマニュアル、セキュリティハンドブックを社内に展開するところから始めて、新しく追加されたルールを関係する人に教育するといったルールを浸透させる対応をしました。また、新しいルールの運用として防犯カメラの導入を進めたり、組織を取り巻く脅威情報を収集して展開するなど、教育以外にもセキュリティを高める活動を行いました。
年間実施項目管理表の実施
年間実施項目管理表という1年間でISMSの運用として必要な作業をいつ何をするといったことを管理している表があるのですが、その中に未実施の作業があったため対応しました。こちらは実際に対応した作業の一部です。
内部監査・本審査
内部監査では全部署に対してセキュリティのリスクが無いかヒアリングしました。具体的には業務内容や業務で利用しているツールを聞いて、そこからセキュリティのリスクがないかや、情報セキュリティマニュアルやセキュリティハンドブックの内容が満たせているか確認しました。改善が必要そうなものは「改善の機会」として起票して今後の対応を考えます。 本審査は内部監査と同じようなヒアリングを今度は外部の審査員の人から受けます。今回は全部署に対して審査が行われたため、審査は3日間ありました。この本審査でも改善が必要そうなものは内部監査と同じように「改善の機会」として起票します。 本審査の結果無事新規格での認証が通りました。
感想
2月から取り掛かって10月までいろいろやってきましたが、改めて会社のセキュリティを意識する機会になって非常に良かったです。ISMSは単発でやればOKというものではなく継続して運用する必要があるものです。がちがちに会社のセキュリティを高めるのではなく、業務がスムーズに進めることも考慮して運用していきます。 また、普段の業務ではなかなか関わる機会が少ない他事業部の人と関わることができたり、業務内容を内部監査で聞くことができたのは非常に良かったです。
テテマーチでは、一緒にサービスを作り上げてくれる仲間を募集中です。ご興味のある方は、以下のリンクからぜひご応募ください! herp.careers
エンジニアチームガイドはこちら! tetemarche01.notion.site