こんにちは!情シスのえんどうです。
いつもはOktaやJamf Proのことばっかりブログに書いていますが、今回はISMS/Pマークの管理で利用しているSecureNaviについて紹介出来ればと思います。
SecureNavi導入前のISMS/Pマーク運用について
hacomonoでは従業員数30人未満のタイミングからISMS/Pマークを取得していましたが、会社の規模が大きくなるにつれて情報資産や文書、関連法規制などの管理が段々と”つらい”状態になってきました。
そんな中2022年から2023年にかけてISMSサーベイランス審査・ISO/IEC 27017新規取得審査を立て続けに受審し、審査や是正対応を行なっている中で「このままの運用ではハリボテのISMS/Pマークになってしまう!」とより強く思うようになりました。
徐々にExcelやWordでの管理が”つらく”なってきた
これまでISMS/Pマーク関連文書はExcelやWordで管理していましたが、版数管理が煩雑で同じ様な文書が乱立し最新版の文書の在処が分からない状況が出来上がっていました。
ISO/IEC 27017の取得時に審査会社が変わった
初回認証取得時はISMSの審査だけだったのでISMS-AC”非”認定機関の審査を受審していましたが、ISO/IEC 27017を取得するにあたって審査機関を変更する必要がありました。
2022年末にこの機関の審査を初受審したのですが、審査内で自分自身のISMSに対する知識不足と運用の稚拙さを突きつけられることとなります。 prtimes.jp
SecureNaviの存在を知る
2022年のISMSサーベイランス審査後、是正対応に取り組んでいましたが、どれも場当たり的な対応で「根本からISMS(/Pマーク)の運用を変えないとこれはしんどい」と思っていました。
そんな中、別件で情報セキュリティ教育のサービスを検討していたところSecureNaviというサービスの存在を知り、これまでExcelやWordで管理していたISMS/Pマーク関連の文書を全てSaaS上に載せることができるのではないか?という希望が見えました。
SecureNavi導入のメリット
「ISMS/Pマーク関連の文書を全てSaaS上で管理することができる」という点以外でSecureNavi導入に至った主なメリットは以下になります。
- トップマネジメントや個人情報保護管理者の文書承認もSecureNavi上のボタンを押すだけで証跡が取れる
- ある程度の関連法規制はSecureNaviが自動で改訂を追ってくれる
- なおかつ情報セキュリティ研修も実施出来る
いざ構築
実は既存の内容を移行するのが大変だった
いざSecureNaviの構築!というタイミングで既存の情報資産などの情報をSecureNaviに打ち込んでいましたが、1件1件手打ちするしかなく少し大変でした。
※今はデータ取り込みの機能があり、ここらへんの辛さは解消されたようです。
hacomonoが導入したタイミングではそれほど取得済み企業の移行案件が少なかった?
SecureNaviの導入事例を見ても分かる通り、圧倒的に新規取得企業が多いです。
そのため、当初既存取得企業の移行案件は少なく開発も追いついていなかったのではないかと推測されますが、機能追加で既存企業も移行が楽になるのは嬉しいですね!
ISMS/Pマーク審査で初お披露目
情報資産などの移行も完了し、2023年9月のISMS・ISO/IEC 27017の更新審査、2024年1月のPマーク更新審査でそれぞれSecureNaviを初お披露目しました。
目が点になる審査員の方々
少し前までExcelとかWordで文書を管理していた企業がSaaSで資産などを説明し始めたんですから、そらそうなりますよね…と。
SecureNaviの機能として審査員の方にもアカウントを発行することができたのですが、今回の審査では事前にPDFでの提出を求められていたため、アカウントの発行はしていませんでした。
いつか「事前にアカウントお渡ししますのでご覧ください」で済むようになると嬉しいですね。
審査機関によっては注意した方が良いかも?
新規取得企業の場合は受審先の審査機関を選ぶことが出来ますが、取得済み企業の場合は他企業でその審査機関の受審歴があるかSecureNaviの担当者様に確認した方が良いと思います。
審査機関(や審査員の方)によってはSecureNaviの仕組み自体に疑問を持たれかねないので、事前に予習&対策しておきましょう。
SecureNavi導入で変わったこと
SecureNaviを導入したISMS/Pマークの審査を1回ずつ受審しましたが、SecureNaviを導入して圧倒的に変わったことがあります。
ISMS/Pマークの文書管理が劇的に変わった
何度でも言いますが、これまでのExcelやWordでの文書管理は本当に辛かったです。
あるExcelを変えればこっちのWordも変更して、改版履歴も更新して…と情シスとして他にもやるべき仕事がある中、この時間をどうにか削減したいと考えていました。
それが今はSecureNavi上で資産やルールを変更すれば文書の管理画面で「改訂が必要ですよ」と教えてくれます。そしてそのまま改版すると然るべき人へ承認依頼が飛んでいく。
「ああ、これが文明の利器か」と感じました。
情報セキュリティ研修もSecureNaviに移行
元々SecureNaviの存在を知ったのは情報セキュリティ研修のプラットフォームを探していたからだったので、SecureNaviの導入を機に従業員をSecureNaviに招待し、SecureNaviの機能で情報セキュリティ研修を受講してもらうことにしました。
研修の管理者としては力量画面で受講状況を一目で把握できるので重宝しています。
そして伝説へ…
SecureNavi導入でISMS/Pマークの運用がかなり改善されましたが、まだやりたいことはあります。
それは「資産管理や委託先管理を各部署へ委譲する」ことです。
今は情シスが全て現場の資産や委託先などを管理していましたが、実際に審査でヒアリングされるのは現場部門であることから、この権限を委譲した方が良いと考えています。
SecureNavi導入前は文書が散らかっていて委譲なんてとても出来る状態ではありませんでしたが、SecureNaviを導入した今では実現出来る状態まで来たと思っています。
ISMSやPマークは情シスだけが頑張るものではなく、会社全体で運用していくもの。そして情シスはその運用を事務局として支えていく。
というのが本来のあるべき姿と個人的には思っているので、これからも改善を続けていく所存です!
オレはようやくのぼりはじめたばかりだからな このはてしなく遠いISMS/Pマーク坂をよ…(画像略)
株式会社hacomonoでは一緒に働く仲間を募集しています。
採用情報や採用ウィッシュリストもぜひご覧ください!
