ビジネス・経営

ベンチャー企業がISMS取得に向けて大変だったこと

マリル
2022.07.05
  • #リスクマネジメントチーム
  • #ISMS
  • #情報セキュリティマネジメントシステム
  • #ベンチャー

ネクストライブ株式会社は、2022年6月18日付で、情報セキュリティマネジメントシステム(ISMS)の国際標準規格である「ISO/IEC 27001:2013 / JIS Q 27001:2014」の認証を取得いたしました。私自身は、リスクマネジメントチームに所属しており、取得に向けての活動を行いました。そのときの、大変だった思い出話をいたします。

ISMS認証取得の経緯と認定の取得

ISMS / IS 765811 / ISO 27001IS 765811 / ISO 27001


ISMS認証(ISO27001)を取得しました | ネクストライブ株式会社 の記事で紹介しております。

マニュアルの作成

ベンチャーとしての「攻めと守り」のバランスが難しい

攻めつつ守れるマニュアルに

ISMS認証取得を目指すために、まず最初に取り組んだのは会社の情報セキュリティに関するルールのマニュアル作成を行いました。

ネクストライブはベンチャー企業であり、急成長を目指しています。攻めか守りかでいうと、攻め続ける必要があります。そのため、セキュリティを担保しつつ、リスクを軽減できるようなマニュアル作成をする必要がありました。セキュリティをガチガチにしてしまうと、エンジニアやデザイナが心地よく仕事ができなくなってしまいます。しかし、何でも自由にしてしまうと、無法地帯となってしまい、リスクが増加してしまいます。

経営目線で見た時に、このバランスが取れているマニュアルを作成することが大変でした。

新しい働き方に対応したマニュアル

ネクストライブでは、新型コロナウイルス感染症対策や従業員のライフワークバランスを考慮し、在宅勤務(リモートワーク)を積極的に取り入れています。そのため、会社の中のリスクだけではなく、通勤経路(端末の運搬など)や在宅勤務にも対応したマニュアルも作成しました。

まだマニュアルのバージョンは1ですが、最近の働き方に沿ったマニュアルができたと感じています。

リスクアセスメント

自由な社風が抱えるリスク

ネクストライブでは、働き方の選択や自分の裁量で仕事をすることができます。しかし、自由に働けるということは管理を減らすためリスクが大きくなってしまいます。そのため、リスクマネジメントチームでは、チーム全体の業務を理解し、リスクアセスメント(リスク分析、リスク評価)をしっかりと行う必要がありました。

リスクアセスメントの結果を元に対策を考えるのですが、ネクストライブのメンバーは自発的に仕事ができる優秀なメンバーが揃っています。そのため、マニュアルでガチガチにしすぎて、みなさんのパフォーマンスが下がっては生産性に影響が出てしまいます。そのため、バランスを設定するために、リスクマネジメントチームでは何回も各チームと打ち合わせを行い、リスク対策に務めました。

情報資産の管理

ペーパーレス化による膨大なデジタル資産

ネクストライブでは、ペーパーレスを推奨しており、なるべく紙を利用しないルールとなっています。そのため、対外的に必要な時を除き、業務ではあまり紙を利用しません。しかし、ペーパーレス化にするためのWebサービスや電子データが膨大になってしまい、マニュアル作成前には情報資産の管理がしっかりとできていませんでした。

まずは、全チームの業務と利用しているサービス、データを洗い出し、クラウド上にしっかりと整理することから始めました。クラウド上には、アクセス権限(アカウント管理)・データの分類・データ名称などを明確にし、誰でもすぐに欲しいデータにアクセスできるように全て整理をしました。

時には、リスクマネジメントチームで、意見が別れ、決定するのに時間がかかったこともあります。かなり時間がかかりましたが、現状はうまく運用ができていると感じます。これは、リスクマネジメントチームだけでなく、他のチームにも多くの協力してもらう必要があったので、なかなかに大変でした。

リスクマネジメントチームの戦いはこれからだ

ISMS認証は取得してゴールではありません。日々、業務において発生する新たな運用マニュアルや、最新のリスクや脅威(ウイルスや攻撃手法)の対策をしていく必要があります。そのため、日々、リスクに対してPDCAをしていく必要があります。

この記事を書いた人
この記事をシェアする
TwitterFacebook