怖くないISMS ・ ISMS規格アップデートの話「研究発表会vol.06〜ISMS編〜」

Date

2023/12/30

はじめに

しくみ製作所の eigoro です。今回、2022年10月に改定されたISO27001に沿って更新したISMSの適用宣言書や規格と、法務がこれまで推進してきたISMSの取り組みについて、社内へ周知するため研究発表会の場にて発表いたしました。

ISO27001の改定を伝えよう

今回の研究発表会では、ISO27001の改定で見直した適用宣言書の変更点のみをお伝えする予定でした。しかし、せっかく研究発表会の場を使ってISMSとしてメンバーにお話できるのであれば、どんな活動をしているのかを少しでもお伝えできればいいのではと思い資料を増量し、以下の項目にてまとめました。

そもそもISMSとはなにか
適用宣言書とはなにか
適用宣言書の改定でなにが変わったか
ISMSはどのような運用をしているのか

そもそもISMSとはなにか？

ご存知の方も多いかと思いますが、ISMSとは「Information Security Management System 」の略、すなわち「情報セキュリティ管理システム」のことです。組織の情報セキュリティレベルを向上させることで、結果として情報の流出等を防ぎ、情報そのものも使いやすい状態で管理されるよう、しっかりルールを決めて対策していきましょう、という取り組みです。

そして、それらを構築していく上でもまとめられた事項があります。 ISO27001は、組織に求められる要求事項＝教科書のようなもので、ISMSの認証を取得するにはこういうルールを守る必要がある、また、ISO27002は、要求事項の実践規範＝参考書のようなもので、ISMSの具体的な管理策はこういうことを考慮すると良い、を示してくれています。

ISMSに取り組む目的は、主にこのような感じでしょうか。

情報セキュリティリスクを適切にマネジメントできる
業務プロセスを改善することができる
組織外に信頼感や安心感をアピールできる

特に日頃からメンバーに情報の扱い等に対し、丁寧に実施することを意識してもらえたり、外部の方への信頼度が高まるところにはメリットを感じています。自治体案件の入札等もISMSの取得が条件になっているものもあり、取得に対する必要性も年々増しているような気もしています。

適用宣言書とはなにか？

さて、今回の発表内容の主要部分でもあった適用宣言書の改定内容について、適用宣言書とはなにか？というところから説明しました。

適用宣言書とは、組織がISO27001（教科書）で定められた情報セキュリティ管理策に対して、どれを適用してどれを除外するのか宣言した文書のことです。こちらの適用宣言書の作成は義務付けられています。ただ、実施を推奨されてはいるものの、全ての項目について必ずしも適用しなくとも構いません。これらの管理策それぞれの適用の有無と理由、そして適用を除外した場合も理由を記載していきます。

肝心な改訂内容については、以下となります。

管理策カテゴリが14項目から4項目に集約された

組織的管理策・人的管理策・物理的管理策・技術的管理策

既存の管理策が統廃合され、新たに11項目の管理策が追加された

脅威インテリジェンス
クラウドサービス利用のための情報セキュリティ
事業継続のためのICTの備え
物理的セキュリティの監視
構成管理・情報の削除・データマスキング・データ漏洩防止
監視活動・Webフィルタリング・セキュアコーディング

クラウドサービス使用に関する情報セキュリティ管理策が追加された
新技術と脅威に対応するためセキュリティに関する項目が更新された
従来のオンプレミス環境に関する管理策が削減された

適用宣言書の改定でなにが変わったか？

しくみ製作所のISMSで規定した適用宣言書の更新部分について説明しました。

権限

相反する職務は同一人物では行わない
許可されない情報資産にアクセスされないように管理する
不必要に大きな権限を持たせないようにする

情報資産の管理

情報及び関連資産の取り扱い手順を明確にする
記録データについて焼失、改ざん、不正アクセス、流出から保護する

インシデント

事故、ヒヤリハットについて報告し、分析・評価・改善をする

脅威インテリジェンス

情報セキュリティの脅威に関する情報収集、分析をする
利用している情報システムの脆弱性に関する評価・対応をする

情報セキュリティ体制

情報セキュリティの役割と責任を定める

事業継続計画（BCP）

事業の中断、阻害時の情報セキュリティレベルを維持する
事業の中断、阻害時の情報資産への可用性を維持する

ISMSはどのような運用をしているのか

最近特に力をいれている資産管理（リスクアセスメント）やインシデント報告を中心として説明しました。

ロール（役割）においての活用では、資産のリスクが高い＝プロセスのリスクが高い＝注視すべき業務と認識し、資産の把握やリスク管理が必要であることを伝えています。インシデント発生時はプロセスそのものの見直しが必要となるので、このサイクルをしっかり回していくことを定着させていければと思っています。

またプロジェクトにおいての活用では、サービスリリースにて一定程度の品質を担保するためセキュリティチェックリストを実施し、インシデント報告をしてもらいながら今後の全社レベルでのインシデント防止に役立てていけたらと思っています。

今回の発表資料はこちらです。

ISMS研究発表資料_202312.pdf1945.9KB

さいごに

最後にあたたかな拍手をもらい、発表は終了しました。今回参加してもらったメンバーの皆さんにISMSの活動を理解いただき、よりご協力いただけるようになれば嬉しいなと感じます。（最近、インシデントの報告を積極的に実施いただいているので、少しは周知できたのかなとも思っています。）

また、お堅いイメージがあるみたいなのでそのあたりを払拭する為にも今後定期的にISMSでどのような活動をしているかを周知していきたいです。

社内ナレッジ共有の新たな試み・変化の速いAI領域を学ぶ「AIお茶会」

2025/07/15

目指す自分へ向かう・問いと決断の軌跡「キャリアの記録〜saito編〜」

2025/06/15

盛りだくさんの交流で深まる理解と信頼「しくみオフ会'25.04〜参加編〜」

2025/05/15

自分に合ったツールを見つけよう「コード生成AIサービスの特徴・違い・おすすめポイントを整理」

2025/04/15

しくみ製作所代表の車より今月のつぶやき「2025年度に向けて」

2025/03/30

第一子の経験を活かして・育休準備と実践の記録「hozum編」

2025/03/15

「知ろう・仲良くなろう！から始まるキャリア授業」中学校にて講演

2025/02/28

AI時代におけるプロトタイピングの進化と影響について「研究発表会vol.13〜nozomu編〜」

2025/02/15

人と技術が交わるこの場所で丁寧な仕事を「メンバーインタビュー〜ishiduka編〜」

2025/01/15

PMへの挑戦と学び・課題解決を追求する道のりで「キャリアの記録〜sakamoto編〜」

2024/12/30

育休は取得してほしい！リモートワークで今しかない子供の成長を見守る「育児パパ座談会 vol.02」

2024/12/15

社内で Cursor 実演会を開催しました「研究発表会vol.12〜norikt編〜」

2024/11/30

好きなことを原動力にフルリモートでの働き方を楽しむ「メンバーインタビュー〜harada編〜」

2024/11/15

創立10周年記念回・これまでの軌跡も辿って「しくみオフ会'24.10〜参加編〜」

2024/10/30

しくみ製作所代表の車より今月のつぶやき「2024年度上期ふりかえり」

2024/10/15

駆け出しPM奮闘記・開発生産性と向き合う話「研究発表会vol.11〜ikkyu編〜」

2024/09/30

意識高く行動する文化の中で新しいことにチャレンジしていきたい「メンバーインタビュー〜hanamura編〜」

2024/09/15

フルリモートでも距離を感じない・働き方も考え方も柔軟なしくみ製作所で「メンバーインタビュー〜こっし編〜」

2024/08/30

創立10周年のご挨拶

2024/08/15

Findy Team+を使用した開発生産性向上の取組みについて「ツール導入編」

2024/07/30

福利厚生を利用して「開発生産性Conference 2024」に参加しました

2024/07/15

他社文化に馴染みながらアジャイルチームをビルドアップした話「研究発表会vol.10〜sadatoshi編〜」

2024/06/30

新しい福利厚生「勉強会補助費・社内コミュニケーション補助費」を導入・必要な支援で業務を後押し

2024/06/15

仕事人生のラストスパート・覚悟を持って歩んでいきたい「メンバーインタビュー〜uto編〜」

2024/05/30

デザインフォーマットとワークフローを再整備した話「研究発表会vol.09〜デザインハブ編〜」

2024/04/30

テーマは前回よりコミュニケーションを深めよう「しくみオフ会'24.04〜参加編〜」

2024/04/15

GA を使わずに滞在時間計測できる環境を作った話「研究発表会vol.08〜kitazumi編〜」

2024/03/15

育休は取得してほしい！リモートワークで今しかない子供の成長を見守る「育児パパ座談会 vol.01」

2024/02/15

チームで成果を出すモブプログラミングのすすめ「研究発表会vol.07〜tanukiti編〜」

2024/02/01

怖くないISMS ・ ISMS規格アップデートの話「研究発表会vol.06〜ISMS編〜」

2023/12/30

行動も後押ししてくれる福利厚生・用途を考えるのも嬉しい時間に「リモートワーク補助金（年間15万円制度）を使ってみた」vol.10

2023/12/15

淡々と価値を届けられるようになるための話「研究発表会vol.05〜aoki編〜」

2023/11/30

直接会えることの特別感を楽しめたオフ会「しくみオフ会'23.09〜参加編〜」

2023/11/15

参加できないメンバーにも届けたい！撮影舞台を整え配信も「しくみオフ会'23.09〜裏方編〜」

2023/10/30

しくみ製作所代表の車より今月のつぶやき「2023年度上期ふりかえり」

2023/10/15

自分自身の意識改革にて成果を上げたPMの話「研究発表会vol.04〜toyokawa編〜」

2023/09/30

企画や概要設計的な部分までをサポートするツールPoitの開発のきっかけ

2023/09/15

RubyとRailsを古いバージョンからアップデートした話「研究発表会vol.03〜kitazumi編〜」

2023/08/30

go_routerとriverpodを組合わせる「Flutterやってみたシリーズvol.01」

2023/08/15

リーンサイクルを強化する KPI 計測基盤を作った話「研究発表会vol.02〜hozum編〜」

2023/07/15

「ゲームをより楽しむためのコントローラー自作」あなたのゲームライフをもっと充実させてみませんか

2023/06/30

かくれんぼの立上げから3年・まだまだ挑戦は続く「地方での暮らしと活動〜toyokawa編〜」

2023/06/15

Elasticsearch で高速な検索システムを構築した話「研究発表会vo.01〜ynishi編〜」

2023/05/30

ChatGPT や GitHub Copilot を導入・情報流出リスクを考慮した AI サービスの活用をご紹介

2023/05/15

適度にカジュアルでリラックスした社内・それを維持できるだけの責任感やスキルのあるメンバーに囲まれて「メンバーインタビュー〜matsubayashi編〜」

2023/04/30

リモートワーク生活を充実させるための福利厚生である「リモートワーク補助金」が5万円パワーアップ・使用用途もご紹介

2023/04/15

しくみ製作所代表の車より今月のつぶやき「2023年度に向けて」

2023/03/25

バランスボール部も結成・リモートワーク歴6年目のエンジニアが語る「バランスボールの効果」

2023/03/15

オフ会に初参加・やっぱりオフラインもいいね「しくみオフ会'23.02〜参加編〜」

2023/03/05

会えるだけで価値とするオフ会を3年ぶりに開催「しくみオフ会'23.02〜企画編〜」

2023/02/25

PJをリードできるメンバーが継続的に生まれる環境をつくるための「PMコーチング」をご紹介

2023/02/15

Cocodaに新規事業の構想から伴走し支援する「つくらないプロダクト開発」の解説記事が掲載

2023/02/05

多様な技術やサービスに触れられる環境が魅力・今後も様々なことを自分で設計しながら楽しみたい「メンバーインタビュー〜timai編〜」

2023/01/25

学習や情報交換の場であるモバイルハブで「アプリコンテスト開催」・日頃の取組みやメンバーも紹介

2023/01/15

SIerからの転職・目標実現のためにサポートや挑戦できる環境を活かしたい「ポテンシャル枠奮闘記〜ichikawa編〜」vol.01

2023/01/05

「業務委託の働き方」をご紹介・それぞれの働きにあった雇用形態を選択できる環境

2022/12/25

「つくらないプロダクト開発」の重要パーツであるKPI計測基盤・広報の例を紹介

📈

「つくらないプロダクト開発」の重要パーツであるKPI計測基盤・広報の例を紹介

2022/12/15

成長に繋がる経験を活かして頼られる存在になりたい「ポテンシャル枠奮闘記〜kazuki編〜」vol.01

2022/12/05

「コンパクトガバナンス宣言」を制定・ホラクラシーをベースに新しい運営を開始

2022/11/25

「快適な仕事環境のための自作キーボード入門」今より少しだけキーボードを気にかけてみませんか

2022/11/15

「いい仕事を生み出す進路選択実践例をご紹介」高崎東高校で働くについて講演vol.02

2022/11/05

ホラクラシー憲法5.0を日本語に翻訳・2019年から導入し今後の展望も

2022/10/25

候補者に伝えたいこと「一緒に働きたい人としくみ製作所の魅力」

2022/10/15

しくみ製作所代表の車より今月のつぶやき「2022年度上期ふりかえり」

2022/10/05

改善を止めない姿勢が浸透していることに感動・価値ある活躍を目指して「ポテンシャル枠奮闘記〜kitazumi編〜」vol.01

2022/09/29

インターナルコミュニケーションの土台が完成・今後もメンバーが盛り上がることのできる環境を「Slackワイワイプロジェクト」vol.02

2022/09/22

しくみ製作所らしさ満点のスタンプが誕生・行動指針の浸透や積極的なリアクションを目指して「Slackワイワイプロジェクト」vol.01

2022/09/15

充実したドキュメントでフルリモートの不安も払拭・相談しやすい環境に感謝「ポテンシャル枠奮闘記〜ikkyu編〜」vol.01

2022/09/01

ゼロから立ち上げたかくれんぼinぐんま・今ではライフワークに「地方での暮らしと活動〜toyokawa編〜」

2022/08/25

エンジニアライフの手助けにと始めた「グループコーチング」副次的な効果も得られる場に

2022/08/04

ポテンシャル枠限定「無限書籍購入制度」をご紹介・自発的な学びの後押しに

2022/07/28

子供の成長を最前線で見守ることができた育児休業・ポジティブなサポートに感謝「tanukiti編」

2022/07/21

心身共にリフレッシュ・福利厚生で自分だけのホームジムを開設「リモートワーク補助金（年間10万円制度）を使ってみた」vol.08

2022/07/14

一緒に働いてみたい・本音で語ってくれた面談を通して働きやすさを感じた「しくみ製作所に入社した理由〜eigoro編〜」

2022/07/07

心理的安全性が高いからこそ様々なことに取組める・フルリモートでの雑談に関する試行錯誤

2022/06/30

3社5職種を経てエンジニアに・学びを加速させる仕組みに感謝「ポテンシャル枠奮闘記〜kawaguchi編〜」vol.01

2022/06/23

海外リモートワーカーの仕事環境を紹介・普段の生活にはない気持ちの変化や発想、課題の発見が「norikt編」

2022/06/16

整備された評価制度と環境が魅力・文系大学からWebエンジニアになって「ポテンシャル枠奮闘記〜seiji編〜」vol.01

2022/06/09

しくみ製作所の緩急のバランスが好き・家族がいつも側にいる最高の環境で「メンバーインタビュー〜Sparrow編〜」

2022/06/02

ポテンシャル枠を支援する寺子屋やグループコーチングの取組みにより成長が加速「ポテンシャル枠奮闘記〜kinoko編〜」vol.02

2022/05/26

保険業界からの転職・共に働くメンバーに魅力を感じて「しくみ製作所に入社した理由〜watanabe編〜」

2022/05/19

新規事業の構想から開発までをサポート「つくらないプロダクト開発」をリリースしました

2022/05/12

エンジニアとして大きく成長できる環境がここに「ポテンシャル枠奮闘記〜sakita編〜」vol.01

2022/04/21

オンラインイベントサービスreBakoの正式リリースから一年をふりかえって

2022/04/14

インドネシアから働くエンジニアが語るフルリモートでの生活と働き方

2022/04/07

怖くないISMS ・ ISMS規格アップデートの話「研究発表会vol.06〜ISMS編〜」

はじめに

ISO27001の改定を伝えよう

そもそもISMSとはなにか？

適用宣言書とはなにか？

適用宣言書の改定でなにが変わったか？

ISMSはどのような運用をしているのか

さいごに

🖋新着記事

🖋
新着記事