リコーグループは2004年にISMS認証を取得し、継続審査と更新審査を繰り返し現在に至っています。
この間、ステークホルダーの期待と要求に応え適用範囲の見直しを進め、信頼を創り上げてきました。
ISMSのモデルを業務に適用し一体化させ、その品質を高めてきた結果としてのISMS認証です。
次のステップとして、リコーグループはISMS最適化へ取り組んでいます。
ここではリコーグループのISMS最適化への取り組みについて、その概要を示します。
1.1. ISMS最適化の目的
ISMS最適化の目的は「ISMSと業務を一体化させ、情報セキュリティレベルを維持した最適なマネジメントシステムを構築する」ことです。これは特に目新しいことではなくISMS導入目的そのものです。
しかし、情報セキュリティレベルが下がり、事件・事故が起きてしまっては、その目的は達成できません。また、形骸化した活動、過剰な施策によるコストの肥大化も考慮しなければなりません。
個人情報漏洩の事件・事故の防止など、機密性に注目してきた情報セキュリティですが、事業継続計画など、情報の完全性・可用性に対する期待・要求は高まっています。
<コラム> ISMSはなぜやっているのか
ところで、ISMSというと、いろいろと機密性を重視した制約や禁止事項が多いように思われがちですが、それがすべてではありません。
もともと、情報は事業に活用するためにあります。
ISMSの基本コンセプトは、「組織が保護すべき情報資産について、機密性、完全性、可用性をバランスよく維持し、改善すること」です。
もっと簡単にいうと、事業目的のために大切な情報および、その情報の管理に責任を持つ人を明確にし、
①情報を使うべきでない人には制限し(機密性)
②情報を常に正しい状態に維持し(完全性)
③情報を必要とする人が使いたいときに常にアクセスできる(可用性)
ように管理することです。
その際、情報の機密性・完全性・可用性のどれかを損なうようなリスクがあれば、リスクアセスメントデータベースを利用して、リコーグループ共通基準と照らし合わせます。そして、そのリスクをなくすか低減する対策、つまり「リスク対応計画」を施します。
これはISMSのためでなく日常業務そのものであり、ISMSは目的ではなく事業のための手段のひとつといえます。
リコーグループが目指しているのは、安全が保たれた状態で情報の活用を図りながら、意図しない人々への情報の漏えいを防止するという、情報の活用と保護の適切なバランスをとって利益創出を図る「情報セキュリティ経営」という考え方です。
(株)リコーIT/S本部ISMS月次セルフチェックから抜粋
1.2. ISMS最適化の目標
この目的を達成するためには、次の目標を設定し完遂する必要があります。
1.3. 具体的な取り組み
これらの目標を実現する具体的な取り組みについて説明します。
最適化の対象となる組織を定め、ISMS活動、すなわち方針・目標・活動計画、リスクアセスメント、教育、内部監査、インシデント報告、およびマネジメントレビューなどの仕組みのうち、次の事項について最適化を試みました。
1.3.1. ISMS方針・目標・活動計画、ISMS文書、リスクアセスメント方針の共通化
1.3.2.情報セキュリティ統括組織による内部監査
図1-1 マネジメントレベルレベルの把握