お客様の経営的な戦略の立案から情報システムの設計、開発、運用、保守まで一貫したITサービスを提供する株式会社ビックウイン様(本社:東京都世田谷区)は、技術者派遣事業及びお客様先常駐の情報処理技術者の管理業務に関する情報セキュリティマネジメントでISO27001:2013の認証取得に成功されました。
認証取得のきっかけ
高田様:以前から情報セキュリティの重要性は認識しており、個人情報に関しては、プライバシーマークを取得し、数年来取り組みを進めてまいりました。
しかし、お取引先様から個人情報だけでなく、すべての情報を対象にした情報セキュリティへの取り組みに対する要求も増え、また、社内のスタッフからも常駐先での情報セキュリティに関する研修会、勉強会の開催についての報告があり、当社にも必要な仕組みではないかとの意見も出始めていました。そのような中で、NSA会員向け通学式コースが開催されることとなり、この機会にISMSの認証取得にチャレンジすることになりました。
構築にあたり
齊藤様:リスクアセスメントや情報資産の洗い出しを実施する際にどの程度、細かなレベルで洗い出しを実施することが必要なのか、悩みながらのスタートとなりましたが、リスクアセスメントの実施方法の勉強会や規格要求事項の勉強会を通じて、少しずつ確実に理解することができました。また、提供していただいたサンプルマニュアルなどの文書類も充実しており、記入例など大変参考になりました。
高田様:実施された勉強会では、当社以外の皆様の進捗状況はとても気になりましたね。複数社が同時にチャレンジしたことでいい刺激になったと思います。
集合研修だけではなく、当社への訪問によるご支援があったのもよかったですね。特に内部監査の実地研修では社内が認証取得に向けて一致団結できました。
今後の目標
齊藤様:審査の日程がクリスマスと重なったこともあり、あの時期は本当に大忙しでしたが、認証審査を無事にクリアでき、おかげさまでのんびりした年末、年始を過ごすことができました(笑)。また、審査を通して、短期的な改善点や中長期の課題も発見でき、次のステップに向けて進むべき方向が明確になりました。
高田様:つい先日もお取引先より情報セキュリティに関する調査票が届き、ほとんど全てが今回の構築作業で実装したものであり、すんなりと理解できました。
また、運用の記録もしっかりと維持できていることが確認でき、自信につながっています。これから、当社のISMSのPDCAサイクルを1年かけて回すわけですが、今年は、従業員へのさらなる浸透を目標に展開していきたいと考えております。1年たって全ての従業員が自分の言葉で自社の情報セキュリティを語ることができるようになったら理想的ですね。