ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第2回 ISO27001認証取得に向け、作業メンバーを決めよう | ScanNetSecurity
2024.05.17(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第2回 ISO27001認証取得に向け、作業メンバーを決めよう

 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜

特集 特集
 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
浦名 祐輔
太田 智明
http://rm.jmc.ne.jp/service/iso27001/27column02.html

<ISO27001新米担当者のつぶやき>

■全社を対象にISO27001取得が決まる

 先日検討したISMSの認証範囲については、再度部長と話し合いの時間を設けることになりました。そこで全社認証のメリットとデメリット、部分認証のメリットとデメリットを検討しながら議論をしました。

 会社としての考え方は、「せっかくやるなら、全社で一気に取得してしまおう。」ということでした。そして、全社での認証取得に向けて、いよいよ作業に取り掛かることになりました。

■認証範囲の次はメンバーを決める

 今日は作業に着手するにあたり、どのようなメンバーで作業を進めるのかを考えています。ISO27001の取得作業は僕一人でどこまでできるものなのか、他のメンバーが必要なのか見当がつかないのが現状です。作業ボリュームがはっきり分からないのが問題です。

 思い切って部長に相談したのですが、案の定、「作業ボリュームが分からない作業に人は割けない。」と一蹴されてしまいました。

 インターネットで調べる限り、どうやら情報資産の棚卸しやマニュアルの作成、従業員への教育といった作業が発生するようです。その程度の作業なら自分一人でできるかなと思ったりもしますが、仲間がいた方が気が楽だし、話し合いながら進められるので効果的だと思います。でもそれだけの理由だと部長を納得させるだけの説得力がないのは明らかです。

「さて困った。」

■全部門で取得に向けた作業あり

 そこでこの前、認証範囲で相談に乗ってもらったAさんに再度聞いてみることにしました。そうしたら、Aさんの経験によると、各部門から一人ずつ担当者を出してもらい、一時的に携わった人を含めると10名を超える規模で取得作業を進めたそうです。どうやら、情報資産の棚卸し作業とリスク分析は全社を挙げての作業になるため、各部門に作業を実施させる方法を採用したそうです。しかも、ISO27001の内部監査という作業をする担当者も置かないとダメらしいのです。

「そんなこと知らなかった。Aさんに聞いてよかった。」

 どうやらISMSの構築は、自分が想像している以上に大掛かりな作業になりそうです。

 これから、Aさんに聞いた情報をもとに必要なメンバーと役割をまとめて、作業を進める体制について部長と相談しようと思います。

 こんなことを考えているうちに、今日の就業時間は終わってしまいました。


<ISO27001コンサルタントからのアドバイス>

■基本的なプロジェクトメンバーの構成

 こんにちは、ISO27001コンサルタントの山田太一です。今回、磯さんは作業メンバーについて悩んでいるようですね。では簡単にポイントを解説しましょう。

 ISMS取得プロジェクトを推進するメンバーというのは、絶対的な答えがあるわけではありません。各社の規模、組織構成などにより、最も適切なメンバーは変わりますが、基本的には下記の3階層で考える必要があります。

・プロジェクトリーダー
・プロジェクトコアメンバー
・プロジェクトサブメンバー

■プロジェクトリーダーには役員クラスを配置

 まずプロジェクトリーダーですが、役割としてはプロジェクトの管理、経営陣との調整、意思決定などが挙げられます。

 プロジェクトリーダーは、できればいざという時、経営陣に話ができる役員クラスの方が望ましいと思います。理由は以下3点が挙げられます。

(1) ISMSは経営戦略の一つとして、重要な役割を担うため。
(2) 「情報セキュリティ」に関する活動は、売上増加やコストダウンに直接的な影響を与えるものではなく、非協力的な人・部門が出てくる可能性があるため。
(3) ISO27001の活動では、経営陣への報告が必要な場合があり、さらにISMSの活動をより良くするためには、経営陣に提案する必要が出てくる可能性があるため。

■実作業に深く関わるプロジェクトコアメンバーとサブメンバー

 続いてプロジェクトコアメンバーとサブメンバーですが…

【執筆:浦名祐輔、太田 智明】

 ※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
  コラムの全文は、同社下記情報サイトから利用可能です。
   http://rm.jmc.ne.jp/service/iso27001/27column02.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性 画像

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性
マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件 画像

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件
Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ 画像

Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report) 画像

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に 画像

DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に
サイボウズGaroon に複数の脆弱性 画像

サイボウズGaroon に複数の脆弱性

インシデント・事故 記事一覧へ

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃 画像

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃
ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入 画像

ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される 画像

東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される
個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕 画像

個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕
知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に 画像

知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に
「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい 画像

「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

調査・レポート・白書・ガイドライン 記事一覧へ

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開 画像

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開
日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート 画像

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート
脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺 画像

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺
サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査 画像

サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表

研修・セミナー・カンファレンス 記事一覧へ

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」 画像

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ~ AeyeScan「診断マネジメントプラットフォーム」
セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催 画像

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催
脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向 画像

ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感 画像

SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催 画像

トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

製品・サービス・業界動向 記事一覧へ

「Cloudbase」が Oracle Cloud Infrastructure 対応 画像

「Cloudbase」が Oracle Cloud Infrastructure 対応
NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可 画像

NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可
認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは 画像

認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは
「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付 画像

「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付
脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得 画像

脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得
「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載 画像

「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×