2009年08月26日

ISMS(ISO27001)の取得

読者の皆様こんにちは。

今回は総務経理部門ですので今回は生産管理の話題と少し外れますが、ISMSについて書かせていただこうと思います。

というのも、当メールマガジンで既にご紹介しておりますが本年4月にエクスはISMS(ISO27001)の認証を取得いたしました。
エクスもIT業界のはしくれ、お客様の生産管理情報をお預かりすることもありますので、情報管理にはやはり気をつかいます。
そこで昨年よりISMS取得のための活動を始めることにしました。

ISMS(Information Security Management System/情報セキュリティマネジメントシステム)とは、組織が情報セキュリティに取り組むための仕組みであり、その規格がISO27001です。
QMS(品質マネジメントシステム:ISO9001)やEMS(環境マネジメントシステム:ISO14001)の認証取得をされている企業に所属の読者の方々も多いと思いますが、その情報セキュリティ版です。
制定されたのが2005年ですので、ISOのなかでも比較的新しい規格です。
具体的には、133項目に及ぶ管理目的及び管理策、たとえば基本方針、組織、資産管理、情報の分類といったカテゴリについて、さらに細かく文書化やレビューを行なっていきます。
なかにはネット販売や輸出入など、事業として関わりが無ければ検討の必要の無い項目もありますが、結局133項目のほとんど全てを精査し、何らかの調査や施策を行なうことになります。

ISMSにおける「情報セキュリティ」という言葉には、色々な考え方が含まれています。
情報セキュリティというと、「会社にとって重要な、秘密にしておきたい情報がもれなければよい」と考えがちです。(もちろんそれは大命題ではありますが)
情報セキュリティを実現するためには、「秘密にしておきたい情報を守る(機密性といいます)」だけではなく、「情報が勝手に書き
換えられたり、壊れたりしないようにする(完全性)」ことや、「情報を使いたいときにいつでも使えるようにする(可用性)」ことも考慮します。
機密性を高めるためにありとあらゆるセキュリティ対策を行い、あらゆる書類を耐火金庫に放り込んでおけば確かに安全ではありますが、結局不便でしょうがない、ということになります。
認証取得のための取組みを行なっていく中でもしばしばここにぶつかって混乱することもありましたが、結局は組織の状況に合わせてバランスを取って対策を行うことが重要で、計画−実行−点検−改善のPDCAサイクルを回しながら時間の経過とともにより良いマネジメントシステムを構築していきます。

今回はISMSについての概要だけですが、実際にエクスが行なっている具体的な取組みや、審査についての話なども機会があればご披露したいと思います。
posted by メールマガジン事務局 at 11:50| 生産管理戦士のつぶやき