ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)認証お役立ちコラム

ISMSはテレワーク・在宅勤務でも取得できる?

スタッフ写真
スタッフ写真

2023年2月24日

ISMSはテレワーク・在宅勤務でも取得できる?

ISMS(ISO27001)は在宅でも取得することができます。
在宅勤務・テレワークをしている本人にヒアリングするフェーズがあり、
ISMSの審査では、お仕事をしているテレワークの現場も対象になる場合があります。

1.テレワークの増加とセキュリティ

情報セキュリティマネジメントシステムの第三者認証であるISMS(ISO27001)は取得企業数が伸びているISO規格の一つです。

2020年から始まったコロナ禍における新しい生活様式によりテレワーク、在宅勤務が増えた方も多いのではないでしょうか。

テレワーク、在宅勤務が増えたことにより、会社の重要な情報を自宅環境で取り扱う場面が増えたこともISMS(ISO27001)の取得企業が増えた背景にあります。
どの会社でも情報の保護は必須になっているといえます。

 

2.在宅勤務・テレワークでもISMSは取得できる?

社内に在宅勤務、テレワークの従業員がいる中でのISMS(ISO27001)の取得は可能です。
在宅勤務、テレワークでの認証取得・更新と、通常での審査では審査員からのヒアリングや確認される場所が少し異なります。

審査ではISMS(ISO27001)の取得範囲所属の部門従業員ヒアリング、認証取得場所の実際のサイトツアー(現地確認)が必要です。
これは在宅勤務、テレワークでも通常の審査でも同じです。
ISMSの認証取得場所が会社であれば認証取得場所(会社)+部門のヒアリングが審査対象になります。

ISMSの認証取得場所が在宅勤務、テレワークの場所であれば認証取得場所(在宅勤務場所、テレワーク場所)+部門のヒアリングが審査対象になります。

 

3.ISMS認証取得に向けて、テレワークのセキュリティ対策

在宅勤務、テレワークでの認証取得、更新のために、ISMS管理策の例をご紹介します。

〈例〉
・在宅時等に業務で使用するPCは会社貸与のPC、タブレットに限定する(A 6.2.1 A 6.2.2等)
・会社の機密情報を漏洩させないため、PCの利用ログを確認できる状態にする(A 12.4.1等 )
・接続するネットワークは必ず暗号化されたWPA2に限定する(A 10.1.1等)
・複雑化したサイバー攻撃への対応例を従業員に教育する(A 7.2 A 7.3等)
・PC作業をしない場合は必ずログオフする(A 6.2.1 A 6.2.2等)

上記の例などが挙げられます。
在宅勤務、テレワーク時にはルール整備、技術的セキュリティ対策、物理的セキュリティ対策が必要です。

⑴ルール整備

ルールを制定することで従業員が遵守しなければならないことが明確になります。

⑵技術的セキュリティ対策

会社で使用する、あるいは在宅及びテレワーク時に使用するネットワーク(機器)、インフラ機器を可能な範囲でコントロールし情報セキュリティインシデントの防止に努めることができる

⑶物理的セキュリティ対策

在宅勤務、テレワーク時には外部の人間がいない場所で打合せや、PC作業をするといった対策で
情報漏洩を防ぐことができます。

4.テレワークでISMSを取得する際の確認ポイント

3点にまとめお話しします。

⑴ 「マニュアルの作成、見直し」について

在宅勤務、テレワークになって社内のルールが大きく変わった企業は多いのではないのでしょうか。
実際お手伝いしている企業でも、見直されていることが多いです。
会社のルールとISMS(ISO27001)のルールが一致しているかを確認する必要があります。

例えば、
・適用範囲、役割責任は問題ないか、
・情報セキュリティ基本方針など従業者に認識してもらいたい情報はどのように周知されているのか
・コミュニケーションの取り方が変化していないか

など、情報セキュリティマニュアル全体的に見直しが必要です。

 

⑵ 「管理策の見直し」について

管理策についても作成、見直しが必要です。
特に[A6.2.2テレワーキング]では技術的セキュリティ対策、物理的セキュリティ対策の行っていることのルールを作成することが良いです。

社内で共有しているルールが管理策で定めているルールと同じか、
関連文書を作成していたりしないか、
など、見直しをしてみてください。

 

⑶「審査機関と連絡(審査について確認)」について

審査機関との連絡は審査を受けるうえで必須です。 前述したとおり、審査機関によって対応方法が違います。

あらかじめ、次の審査をお願いしようとしている審査機関に対応を実際に確認してみましょう。
審査機関の対応パターンとして、以下があります。
A) テレビ電話などのツールで審査をしてくれる
B) 必ず審査員が現地に出向かなければならない

同じ審査機関でも会社の状況によって対応が変わる場合もあります。
必ず、自社の状況を審査機関に伝えるようにし、審査機関の対応を確認しましょう。
審査当日に審査できないとなってしまっては大変です。

 

5.ISMS(ISO27001)認証取得のメリット

ISMS(ISO27001)取得のメリットとしては「顧客要求に応えられる」ということをよく聞きます。

クライアントより、ISMSかプライバシーマークを取得しているかどうか、
また情報管理の状況についてしっかりと整備されているか等を確認されたり、セキュリティチェックシート等を送付する企業が最近増えています。

その際、ISMS(ISO27001)を取得していたらチェックをパスできるケースがあります。

また、ISMSを持っていることで、
入札に参加できるようになるなど、自社のセキュリティ状況を外部にアピールすることもできます。

詳細として、ISMSのメリットについては下記記事をご参考にしていただければと思います。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介

まとめ

ISMS(ISO27001)は在宅勤務、テレワークでも認証取得、更新をすることができます。

そのためには審査機関選びが重要となり、またルール整備、技術的セキュリティ対策、物理的セキュリティ対策をしっかりと行うことができているか確認しましょう。

ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜17:00
0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。