こんにちは、ビジネスデザイン部の下門です。

今週、情報セキュリティマネジメントシステム（ISMS）の維持審査（サーベランス審査）が行われました。弊社ではISO27001/ISMSを取得して今年で5年目になります。昨年に更新審査を終了しましたので、今回は維持審査となりました。

普段、情報セキュリティ委員会（ISC）を中心に取り組んでいる活動の客観的な評価と見直しを行う機会でもあります。審査は2日間に渡り、1日目はうるま市本社、2日目は宜野座iDCという日程で行われました。

1日目

社内全体がやや緊迫した雰囲気の中、審査初日が始まりました。始めに審査員の先生と一緒に本社オフィスのサイトツアーを実施し施設・設備の状況を確認しました。

前回の審査の振り返りを行った後、各チーム毎の文章の確認を行いました。社員へのインタビューはサンプリング手法が用いられ、モバイルソリューションチームや開発、運用スタッフに対して業務内容や情報セキュリティに関するサンプリングチェックが行われました。

2日目

2日目は、弊社データセンターサービスやオリジナルインターネットサービスが運用される、情報セキュリチの肝である、宜野座iDCにおける審査が行われまました。1日目同様に午前中はデータセンター及びオフィスへのサイトツアーが行われました。サイトツアーながら、センターの中では専門的な質問が飛び交いました。iDCソリューションチームに対する審査終了後に、そのまま2日間の締めとして、クロージングのミーティングを行いました。

まとめ

審査員の先生の話で印象深かったことは、検査と審査の違いでした。できているか否かのチェックを付けることが検査ですが、今回は、より実効性のあるISMSが構築・運用できているかというアプローチでの審査が行われ大変参考になりました。

今後は、ISCの一員として、自らの情報セキュリティへの理解を深めるとともに、社内への浸透を一層意識してISMSを推進してきたいです。