8月某日、ISMS(information security management system)3年更新(再認証審査)の外部監査を受けました。結果は「再認証登録を推奨」という結果をいただいております。
この結果は、組織の情報セキュリティ管理体制が国際規格に準拠し、効果的に運用されていると外部の専門機関に認められたことを意味します。この認証は、顧客や取引先からの信頼を高めるだけでなく、社内のセキュリティ意識向上にもつながります。
審査は終わりましたが、ISMSは継続的な改善が重要です。今回の審査結果を機に、以下の点に焦点を当てて、さらなる管理体制の強化を図ります。
- 審査での指摘事項の確認審査員から受けた軽微なものも含めた改善提案や指摘事項を詳しく確認します。これらは、今後のISMS運用における貴重な改善点となります。※下記に指摘事項を記載します。
- 是正計画の策定と実行指摘事項に対する具体的な是正計画を立て、スケジュールを明確にして実行に移します。計画には、担当者や期限を含めることが重要です。
- リスクアセスメントの見直し事業環境やサイバー攻撃の手法は常に変化しています。定期的にリスクアセスメントを見直し、新たな脅威に対応するための対策が適切か確認します。
指摘事項 ※
- 外部ストレージ(One Drive Google Driveの)社内システム利用手順やソフトウェアライセンス一覧等関連するルール文書や記録があるが、組織として意図しない環境に情報の格納が起きないよう考慮されているかの確認、必要に応じ利用方針についての検討。
- UTM(Unified Threat Management)の月次レポートを取得しています。当レポートのさらなる活用について検討。
- ID/PWのアクセスについて、社内ルールの記載や解釈について確認しておく。
- 「事業継続訓練実施」の各員の気づきはレポートに「改善案」として詳細に記録され、改善活動のトリガーとなりうるアイディアが洗い出しに繋がっている点を高く評価。これらのアイディアが時間の経過と共に失われることがないような管理方法となっているかの確認や検討。
改善の機会
- 特定利用サービス(社内で規定したもの)について多要素認証の設定。
- 各ユーザーのアクセス権限の見直し。
- 外部保存サービス等の使用ルールの検討。
- 生成AIの利用について手順・ルール制定。
上記の指摘事項を元に、次年度に必要な処置を取り入れてまいります。
今回の再認証を機に、さらに強固な情報セキュリティ管理体制を築き、組織全体のセキュリティレベルを一層高めていきます。
R.K
