ISMS(ISO27001)認証お役立ちコラム
2023年2月24日
ISMS(ISO27001)は在宅でも取得することができます。
在宅勤務・テレワークをしている本人にヒアリングするフェーズがあり、
ISMSの審査では、お仕事をしているテレワークの現場も対象になる場合があります。
1.テレワークの増加とセキュリティ
情報セキュリティマネジメントシステムの第三者認証であるISMS(ISO27001)は取得企業数が伸びているISO規格の一つです。
2020年から始まったコロナ禍における新しい生活様式によりテレワーク、在宅勤務が増えた方も多いのではないでしょうか。
テレワーク、在宅勤務が増えたことにより、会社の重要な情報を自宅環境で取り扱う場面が増えたこともISMS(ISO27001)の取得企業が増えた背景にあります。
どの会社でも情報の保護は必須になっているといえます。
2.在宅勤務・テレワークでもISMSは取得できる?
社内に在宅勤務、テレワークの従業員がいる中でのISMS(ISO27001)の取得は可能です。
在宅勤務、テレワークでの認証取得・更新と、通常での審査では審査員からのヒアリングや確認される場所が少し異なります。
審査ではISMS(ISO27001)の取得範囲所属の部門従業員ヒアリング、認証取得場所の実際のサイトツアー(現地確認)が必要です。
これは在宅勤務、テレワークでも通常の審査でも同じです。
ISMSの認証取得場所が会社であれば認証取得場所(会社)+部門のヒアリングが審査対象になります。
ISMSの認証取得場所が在宅勤務、テレワークの場所であれば認証取得場所(在宅勤務場所、テレワーク場所)+部門のヒアリングが審査対象になります。
3.ISMS認証取得に向けて、テレワークのセキュリティ対策
在宅勤務、テレワークでの認証取得、更新のために、ISMS管理策の例をご紹介します。
〈例〉
・在宅時等に業務で使用するPCは会社貸与のPC、タブレットに限定する(A 6.2.1 A 6.2.2等)
・会社の機密情報を漏洩させないため、PCの利用ログを確認できる状態にする(A 12.4.1等 )
・接続するネットワークは必ず暗号化されたWPA2に限定する(A 10.1.1等)
・複雑化したサイバー攻撃への対応例を従業員に教育する(A 7.2 A 7.3等)
・PC作業をしない場合は必ずログオフする(A 6.2.1 A 6.2.2等)
上記の例などが挙げられます。
在宅勤務、テレワーク時にはルール整備、技術的セキュリティ対策、物理的セキュリティ対策が必要です。
⑴ルール整備
ルールを制定することで従業員が遵守しなければならないことが明確になります。
⑵技術的セキュリティ対策
会社で使用する、あるいは在宅及びテレワーク時に使用するネットワーク(機器)、インフラ機器を可能な範囲でコントロールし情報セキュリティインシデントの防止に努めることができる
⑶物理的セキュリティ対策
在宅勤務、テレワーク時には外部の人間がいない場所で打合せや、PC作業をするといった対策で
情報漏洩を防ぐことができます。
4.テレワークでISMSを取得する際の確認ポイント
3点にまとめお話しします。
⑴ 「マニュアルの作成、見直し」について
在宅勤務、テレワークになって社内のルールが大きく変わった企業は多いのではないのでしょうか。
実際お手伝いしている企業でも、見直されていることが多いです。
会社のルールとISMS(ISO27001)のルールが一致しているかを確認する必要があります。
例えば、
・適用範囲、役割責任は問題ないか、
・情報セキュリティ基本方針など従業者に認識してもらいたい情報はどのように周知されているのか
・コミュニケーションの取り方が変化していないか
など、情報セキュリティマニュアル全体的に見直しが必要です。
⑵ 「管理策の見直し」について
管理策についても作成、見直しが必要です。
特に[A6.2.2テレワーキング]では技術的セキュリティ対策、物理的セキュリティ対策の行っていることのルールを作成することが良いです。
社内で共有しているルールが管理策で定めているルールと同じか、
関連文書を作成していたりしないか、
など、見直しをしてみてください。
⑶「審査機関と連絡(審査について確認)」について
審査機関との連絡は審査を受けるうえで必須です。 前述したとおり、審査機関によって対応方法が違います。
あらかじめ、次の審査をお願いしようとしている審査機関に対応を実際に確認してみましょう。
審査機関の対応パターンとして、以下があります。
A) テレビ電話などのツールで審査をしてくれる
B) 必ず審査員が現地に出向かなければならない
同じ審査機関でも会社の状況によって対応が変わる場合もあります。
必ず、自社の状況を審査機関に伝えるようにし、審査機関の対応を確認しましょう。
審査当日に審査できないとなってしまっては大変です。
5.ISMS(ISO27001)認証取得のメリット
ISMS(ISO27001)取得のメリットとしては「顧客要求に応えられる」ということをよく聞きます。
クライアントより、ISMSかプライバシーマークを取得しているかどうか、
また情報管理の状況についてしっかりと整備されているか等を確認されたり、セキュリティチェックシート等を送付する企業が最近増えています。
その際、ISMS(ISO27001)を取得していたらチェックをパスできるケースがあります。
また、ISMSを持っていることで、
入札に参加できるようになるなど、自社のセキュリティ状況を外部にアピールすることもできます。
詳細として、ISMSのメリットについては下記記事をご参考にしていただければと思います。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介
まとめ
ISMS(ISO27001)は在宅勤務、テレワークでも認証取得、更新をすることができます。
そのためには審査機関選びが重要となり、またルール整備、技術的セキュリティ対策、物理的セキュリティ対策をしっかりと行うことができているか確認しましょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ