[job] ISMS外部審査終わった
継続審査だったので丸一日で完了。初めての対応ということでこの一ヶ月くらい結構ドキドキしていたのだけど、やっと終わったのでほっとした。
審査員の方はかなりのベテランで、こちらの自信が無い箇所に対して的確に指摘を入れてくる。ごまかすのも変な話なので正直に、かつ整合性のとれた妥当な回答を続けるのは、普段使っていない脳の一部をフル回転させているような感覚で、とても楽しかった。
ちなみに、今回セキュリティ対策として新たに企画・実施した数ある案の中で、一応成果がでたものは以下(会社の話なので概要のみ)。
- 社内セキュリティルール(現実業務との乖離がなく無理なく準拠できるもの)の策定と徹底
- サーバーの設定変更を日次で検出しメール通知するツール
- サーバー内でRootkitチェックを日次で行い異常をメール通知
- サーバーに対して脆弱性スキャンツールをかけるルール
- 情報資産棚卸用のツールをRailsで作成
- Windowsのセキュリティ情報やインストールアプリを毎日サーバー(Rails)に送ってWeb上でモニター
- 社内ネットワークに不正な接続が無いかをチェックするツール
上記と同じ位「やってみたけど没」企画があったりして…
あと、半年位ISMSをやってみて、以下のことを実感。
- まずは、ISMSの規格書を徹底的に理解することが大切。よーく読むと守るべきことはそれ程多くないことに気がつく。
- 世に出回っているISMS手続きのテンプレ(コンサルとかがもってくるやつ)は中小企業には冗長過ぎる。メリット(セキュリティの向上)よりもデメリット(山のような手続きを準拠するコスト)が大きく上回る。
- 最初はできるだけミニマムな手続きを策定し、不足箇所に対する指摘を受けて肉付けしていくのが良いと思う。
- 個人的には「ボリュームたっぷりの手続きよりも、シンプルで役に立つ守りやすいルール・ツール」のほうが絶対に良い(実用性の面でも、社員の気分的にも)。
ということで来週からはISMSからやや解放されて、また別の新しいことを考えたりする予定。