ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第1回 ISO27001は認証範囲を決めることから始まる | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第1回 ISO27001は認証範囲を決めることから始まる

特集 特集

 ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

                    株式会社JMCリスクマネジメント
                         太田 智明、浦名祐輔
        http://rm.jmc.ne.jp/service/iso27001/27column01.html

<ISO27001新米担当者のつぶやき>

■「君がメインでISO27001取得を進めてくれ」

 はじめまして、僕の名前は磯一郎と言います。とあるシステム開発会社の情報システム部に所属していて、社会人5年目になります。そろそろ仕事にも慣れてきて充実した日々を送っていたのですが、ある日、部長に呼ばれてこう言われました。

「うちの会社でISO27001を取ることにしたよ。他のメンバーは手一杯なので磯君、君がメインとなって進めてくれ。」

 いきなりの話で驚きました。ISO27001?何のことだかさっぱり分かりません。「こうやって丸投げするの、うちの会社の悪いとこだよな…」ただ上司の指示なので逆らうわけにもいかず、しぶしぶ承諾して席に戻りました。

■ISO27001取得には審査に合格する必要あり

 早速インターネットで「ISO27001」と調べてみると、いくつか情報が収集できました。

「別名ISMSと呼ばれているらしい。ISMSとは『情報セキュリティマネジメントシステム』が正式名称のようだ。審査に合格すると、ISO27001を取得していることを名乗れるらしい。どうやらセキュリティ対策を充実させないとダメみたいだ。日本では約2,500社が取っている。なるほど、審査に合格する必要があるのか。でも審査を受けるための条件が、いまだによく分からないな…」

 こんな調子で調べていると、背後から声をかけられました。最近中途で入社してきたAさんです。どうやらAさんは以前所属していた会社でISO27001取得に携わったことがあるらしく、僕がISO27001について調べているのを見かけて声をかけたそうです。

 Aさんに事の経緯を話すと、このようなことを言われました。

■認証範囲を決めることから構築は始まる

Aさん:
「最初に『認証範囲』を決めないとダメだよ。それによって必要なメンバー、スケジュール、コストが変わってくるからね。ISO27001は全社で取ることもできるし、業務ごとに取ることもできるんだ。実際、僕が前の会社で携わった時はシステム開発部門だけで取ったんだよ。」

「なるほど。そんな仕組みがあったのか。いい情報を手に入れた。でも全社で取るのか、特定の業務だけで取るのか、どっちがいいんだろう?部長に相談したら、『全社で取れ』と言ってたし。とりあえず指示には従っておくけど、本当は全社で取るのと、業務で部分的に取ることのメリットの違いが存在するんじゃないかな?」

 こんなことを考えているうちに、今日の就業時間は終わってしまいました。

<ISO27001コンサルタントからのアドバイス>

■これからの疑問、不明点を解説

 おやおや、早くも困っているようですね。
私はISO27001コンサルタントをしている山田太一といいます。

 今後、磯一郎さんがISO27001を認証取得するまでの様々な疑問点、不明点を解説していきます。早速ですが、今回磯さんが悩んでいる[1]「そもそもISO27001とは何か」、[2]「適用範囲を決めるポイント」、[3]「事業全体での認証か、部分認証か」の3点について…

【執筆:太田 智明、浦名 祐輔】

 ※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
  コラムの全文は、同社下記情報サイトから利用可能です。
   http://rm.jmc.ne.jp/service/iso27001/27column01.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×