こんにちは！
ライズ・コンサルティング・グループ広報担当です。
　
今回は当社の社内施策の一つである、情報システム施策の取組についてご紹介させて頂きます。　

情報システム施策は、弊社内の業務で利用するメールサーバーやネットワーク、パソコンの改善・運用、社内システム導入の製品選定や運用設計、また社内の情報セキュリティレベル向上を目的としたISMS認証の取得等を行う重要な取組みです。

本記事では、特にISMS認証に向けた情報システム施策の取組について以下に紹介させていただきます。

<ISMS認証とは>
ISMS認証（ISO27001）とは、情報セキュリティーに関する国際規格の1つであり、その取り組みを指します。「情報セキュリティマネジメントシステム」とも呼ばれています。
取得する際は、日本情報経済社会推進協会によって認定された第三者機関に申請を行い審査を受け、審査条件を満たすことでISMS認証を受けられるのが特徴です。
またISMS認証は対外的にもセキュリティレベルを示す（証明する）ことにも役立つため重宝されます。

では、実際にどのような活動をしているのかについて紹介いたします。

●セキュリティー方針の策定
情報システム施策では、まず情報セキュリティーの要点（「機密性」「完全性」「可用性」）に基づきセキュリティー方針を策定し、ドキュメント化します。これらは外部の企業やクライアントへ開示する上でも必要になります。

●社内メンバーに向けたセキュリティー教育
ISMS認証を取得するにあたっては社員のセキュリティーレベルの向上を進める必要があります。そこで情報システム施策では、上記で定めた方針を元に社員への教育を行っています。具体的には、施策メンバーにて作成したセキュリティーに関する資料をもとに定期的な集合研修およびオンラインの研修にてセキュリティー教育を実施しています。

●内部監査とマネジメントレビュー
社内セキュリティーのチェックのため、内部監査担当者を決め、セキュリティー方針への準拠具合やISMS認証が有効な取り組みとして実施されているかをチェックします。改善余地がる場合は、見直し事項を決定するマネジメントレビューを実施しています。

●審査機関による審査
社内での内部監査とマネジメントレビューを経た上で、第三者機関による審査が行われます。審査には文書審査と、社内での実施状況をチェックする現場審査があります。情報システム施策メンバーを中心にこれらの審査対応を行います。無事に審査を通過するとISMS認証（ISO27001）を取得できます。

情報システム施策では、ISMS認証取得以外にも、社内のネットワーク、PC機器の運用、社内システム導入の製品選定・運用設計、また直近ではWindows10対応（Windows7サポート切れ対応）や今後に向けた社内システムをどう新しくしていくかの検討も実施しています。

今後も重要な社内施策の一つとして取り組みを継続的に推進していきます。続報をご期待ください。

※この記事は2020/2/25にFacebookに投稿されたものです。