目次
今回、記事を書かせてもらうことになった、毛利です。
ブログを書くのって、私が高校生くらいの時に流行って勝手に日常を書いていた以来です。
今回は我が社で認証取得しているISO27001の活動についてご紹介します。
とはいえ、私自身もISO27001:情報セキュリティに関してまだまだ勉強不足なところがたくさんあります。
ですが、事務局として活動のサポートしております。
未熟者の記事ではありますが、書いてみますのでどうぞお時間のある方はご覧ください。
我が社でISO27001認証を得て、約7年経過しました。
実は、認証取得時から少しですが関わらせてもらっております。
今回は大切な情報資産を守るため、日々活動している一部をご紹介します。
①情報資産の見える化
情報資産ってなんだろう。から考えます。
PCをはじめ、USBからスマートフォンなどがあります。もちろん設計資料も我が社の大事な資産です。
各部門で、まず情報資産を洗い出し、見える化(情報資産台帳というものを作成)し、リスク値を評価します。
リスク値が高い場合は、対策を施し、許容値まで下げることで重要な資産を守っています。
対策の一部をご紹介します。
▼PC持ち出し管理
不要な持ち出しは、紛失等のリスクにもなるため許可しません。
持ち出し可能なPCには、暗号化を行い、紛失時のリスクを下げています。
▼重要書類の施錠管理
書類の中でも、機密性、可用性、完全性の数値が高いものに関しては、
容易に持ち出せないように施錠管理し、リスクを下げています。
②内部監査、外部審査
年1回、必ず社内で行う内部監査、第三者機関を通して行う外部審査を実施しています。
いずれも第三者の目で監査し、ISO27001が運用できているかを確認します
外部審査でご指摘(“改善の機会”)を頂いた一部をご紹介します。
▼USBメモリの使用ルールについて
USBメモリを返却する際には「ファイルを残さない」ルールです。
ところが、部内保管中のUSBメモリをサンプリング確認したところ、
ログファイル(CSV形式)が残ったままの状態でした。
持ち運びが容易な媒体を介した情報漏洩を予防するため、
USBメモリ返却時のファイル削除及び定期的な確認の必要性に検討の余地があります。
なんと、運用できていると思い込んでいたルールが第三者の目が入ることで、
ルールの逸脱を発見することができました。
このような機会を生かし、日々運用方法の見直しを実施しています。
「あとがき」
少ないですが、我が社の活動の一部をご紹介しました。
2025年にISO27001:2013年度版からISO27001:2022年度版へ移行完了しております。
これからもISO事務局として、品質保証部として日々勉強していきたいと思います。
お付き合いいただき、ありがとうございました!
