京セラドキュメントソリューションズ株式会社様 – ISO27001&ISO27017同時取得 –

現行ルールを最大限に活かしたマネジメントシステムも、解釈困難なCSA STARのセルフアセスメントも、LRMのサポートなしには実現しませんでした。認証取得企業に合わせた柔軟な対応は、LRMの最大の強みです

京セラドキュメントソリューションズ株式会社は、クラウドビジネス拡大に向け、ISMS/ISO27001認証、およびISO27017/ISMSクラウドセキュリティ認証を同時取得しました。今回の取り組みは、自社の現行ルールを第三者視点で再評価する機会にもなったと言います。LRMにコンサルティングを依頼した理由や認証取得に至る経緯、今後の取り組み課題などについて、ISMS事務局の上之郷陽氏、梅永明宏氏、實克洋氏、荒木理仁氏の4名にお話を伺いました。

(京セラドキュメントソリューションズ株式会社 について)

モノクロおよびカラーのプリンター、複合機、ドキュメントソリューション、アプリケーションソフトウェアなどの開発・製造・販売を行う企業。京セラグループ全体の主力部隊として約4分の1の事業規模を有する。京セラドキュメントソリューションズグループとしては世界に71社を展開する。主力のプリンター『ECOSYS(エコシス)』と複合機『TASKalfa(タスクアルファ)』は世界140か国以上で販売され、特にドイツ、ロシア、イタリア、スペインなど多数のエリアでシェアNo.1を獲得している。最大の特徴は、優れた環境性と経済性にある。『ECOSYS』ブランドのプリンターは、1992年の販売開始当時から、高い環境意識のもとで開発され、1997年にはページプリンター業界初となるブルーエンジェルマーク(世界で最も厳しいとされるドイツのエコマーク)を取得。また、アメリカのBLI(ドキュメント機器に関する独立調査機関)からも、毎年高い評価を受けている。2016年のG7伊勢志摩サミットに続き、2025年日本万国博覧会誘致委員会のオフィシャルパートナーとして協賛している。
設立;1948年。2012年より現社名。グループ社員数;約21,000名(2017年12月現在)。本社;大阪市中央区。

ISMS/ISO27001&ISO27017/ISMSクラウドセキュリティ認証同時取得コンサルティング

— LRMへのご依頼内容をお話し下さい。

弊社は、LRMにISMS/ISO27001(以下、ISMS)認証とISO27017/ISMSクラウドセキュリティ(以下、ISMSクラウドセキュリティ)認証の同時取得コンサルティングを依頼しました。また、オプションとしてCSA STAR登録のサポートも依頼しました。

LRMのコンサルティングがスタートしたのは2017年2月です。LRMの担当者は、幸松さんと井崎さんです。

ISMSおよびISMSクラウドセキュリティの認証取得と、CSA STAR登録は並行して準備を行いました。そして同年5月にCSA STAR登録を終え、続いて11月中旬、ISMSとISMSクラウドセキュリティの両認証を取得しました。

– ISMSおよびISMSクラウドセキュリティ認証の適用範囲をお話し下さい。

ISMSおよびISMSクラウドセキュリティ認証の適用範囲は、弊社が提供するクラウドサービスの開発運用を担う3つの部署です。現在、弊社が販売会社にグローバル提供しているクラウドサービスは「KYOCERA Fleet Services」と「KYOCERA eAppsMaker」の2つで、それぞれの開発運用は、サービスごとにチームに分かれて行っています。
まずは最小限必要としているこの2つのチームを適用範囲として両認証を取得しました。

【KYOCERA Fleet Services】
インターネットを経由し、リモートで、プリンターや複合機の管理とメンテナンスを行うサービス。各機器のカウンターやトナー情報取得に加え、設定値変更などリモートでのメンテナンスも可能とする。トナー情報やカウンター情報の取得は他社製品でも可能。

【KYOCERA eAppsMaker】
京セラドキュメントソリューションズ社製の複合機で動くアプリを作成するためのクラウドサービス。特別なプログラミングを必要としないため、販売会社が独自にアドオン機能を開発し製品の機能を拡張することが可能。

– CSA STAR登録についてご説明下さい。

CSA STAR(Security, Trust & Assurance Registry)は、クラウドサービスのセキュリティレベルを評価するための基準です。クラウドサービスプロバイダにおける情報セキュリティ対策の透明性を確保することを目的とする非営利国際団体・CSA(Cloud Security Alliance、本部:米国)が開発・公開しています。

CSA STARの中でも、今回、クラウドセキュリティレベルの評価の取り組みに利用した「CAIQ」と呼ばれるドキュメントには、約300項目のベストプラクティスが記載されています。クラウドプロバイダは、そこで公開されているベストプラクティスの各項目に自社サービスが準拠出来ているかを「Yes」か「No」で回答していくことで自己評価することが出来ます。また、評価レポートをCSAに提供し、登録することが出来ます。登録が完了するとレポートがCSAのウェブサイトで公開され、それによって、ユーザーに対し、自社サービスのセキュリティレベルを判断する材料を提供することが可能となります。

– CSA STARは認証制度ではないのですか。

BSIグループジャパンが認証サービスも提供していますが、認証取得まで視野に入れるとISMS以上の期間が必要となります。また、世界で利用されている多くのメジャーサービスも登録までにとどめていますので、前例に倣う形で、セルフアセスメントの実施と登録をゴールに設定しました。

グローバル拠点の販売活動を支援するために情報セキュリティ体制を強化

「少しでも早くグローバル拠点の要望に応えたいと考えてコンサルタントを選びました」(ISMS事務局・上之郷陽氏)

「少しでも早くグローバル拠点の
要望に応えたいと考えて
コンサルタントを選びました」
(ISMS事務局・上之郷陽氏)

— ISMSおよびISMSクラウドセキュリティ認証の取得目的をお話し下さい。

ISMSおよびISMSクラウドセキュリティの両認証取得の目的は、クラウドサービスの開発運用における情報セキュリティ体制の強化です。

弊社は近年、クラウドサービスのビジネス展開を強化しています。その中で浮上してきたのが情報セキュリティの問題です。企業がクラウドサービスの導入を検討する際、クラウドプロバイダの情報セキュリティ対策は選定基準の1つに挙げられます。そのため世界各地の販売会社が営業活動をする際に、何らかの形で弊社の情報セキュリティマネジメントに対する安心材料をお客様に提供する必要がありました。

特に弊社の売上比率が最も高いヨーロッパでは、情報セキュリティに対する意識が高く、2018年5月のGDPR(General Data Protection Regulation:一般データ保護規則。
EUの新しい個人情報保護法)施行など、個人情報取り扱いの規制も厳格化しています。各サービスでセキュリティホワイトペーパーを用意していましたが、営業の最前線からは第三者認証であるISMSの取得を求める声が増えていました。弊社はすでに全社ルールとしての情報セキュリティガイドラインを策定していますが、そのガイドラインを説明するより、ISMS認証を取得しているという説明の方が端的に伝わります。

以上のようなビジネス的背景のもと、2016年12月にISMS事務局を組織し、ISMS認証の取得に向けて動き始めたところ、ちょうどその年の夏にISMSクラウドセキュリティの認証制度がスタートしたことを知りました。ISMSクラウドセキュリティ認証は、まさに弊社の目的に合致していました。そこで両認証を同時取得し、クラウドサービスの情報セキュリティ体制を強化することで、世界各地における販売活動を支援することを決めました。

– CSA STAR登録も同様の目的だったのでしょうか。

その通りです。ISMS認証取得に向けた準備を進める中、取得までに1年ぐらいの期間かかることがわかりました。
ただ、その間、販売会社の要望に何も応えないわけにはいきません。そこで社内の開発部門協力のもと、CSA STAR登録に取り組みました。それが2016年10月頃です。

ただ約300項目のベストプラクティスは非常に難解な文章で書かれており、開発部門も我々も理解が困難だったため、CSA STAR登録は一旦保留し、ISMSとISMSクラウドセキュリティの認証取得に集中することに決め、コンサルティング会社を探し始めました。

– ISMSおよびISMSクラウドセキュリティの認証取得期限はいつに設定していたのですか。

2017年の秋です。「KYOCERA Fleet Services」の新バージョンリリースに合わせるためです。

LRMの柔軟性に期待しコンサルティングを依頼

「一部門だけ現行ルールを破棄するわけにはいきません。LRMの柔軟性に期待しました」(ISMS事務局・實克洋氏)

「一部門だけ現行ルールを
破棄するわけにはいきません。
LRMの柔軟性に期待しました」
(ISMS事務局・實克洋氏)

– コンサルティング会社はどのような視点で探されましたか。

まず、ISMS認証取得だけではなく、ISMSクラウドセキュリティ認証取得も含めた支援をしている会社は限られた数しかありませんでした。その中からLRMと、大手コンサルティング会社をピックアップしました。

2社を選定した理由は、大規模に事業展開しているコンサルティング会社と、比較的コンパクトで柔軟な対応が期待できるコンサルティング会社の両方の話を聞いてみたいと考えたからです。

LRMは、当時の段階で、既にワークスアプリケーションズ社とスタディスト社の2社に対してISMSクラウドセキュリティ認証新規取得をサポートした実績がありました。
他方は、ISMSクラウドセキュリティ認証取得に関しては実績が示されていませんでしたが、支援体制は構築してあり、ISMS認証取得支援では大手企業を中心とした実績を多数持っていました。

– 2社を比較し、最終的にLRMに依頼した理由をお話し下さい。

LRMに依頼した決め手は、以下の通り、柔軟なサポートへの期待です。

(1)訪問回数無制限

LRMの認証新規取得コンサルティングは、訪問回数無制限です。ISMS初心者の我々にとっては安心感が持てました。

比較した大手コンサルティング会社を含め、訪問回数無制限と表現しているコンサルティング会社は他にありませんでした。他社はおしなべて一定数を超えると追加料金が発生する料金体系です。しかし弊社にはその回数で収まるかどうかを判断する術はありません。その点、何回訪問しても同額とするLRMのサービスは安心でした。

(2)現行ルールを生かしたマネジメントシステム構築

弊社が現在運用している全社ルールは、京セラグループの規定をベースに、弊社向けにアレンジしたものです。その文書体系を最大限に活かすのか、独立したルールを新規に作るのかで非常に悩みました。

LRMはどちらにも対応できるとのことでした。それに対し、もう1社は、コンサル会社が作成した既存のテンプレートに沿ってマニュアルを作れば、ISMSもISMSクラウドセキュリティも認証取得はできるという提案でした。現行ルールを活かす選択肢はありませんでした。

ISMS事務局で検討した結果、体系化されたルールを全社で運用する中、一部門だけ独立したルールを運用することは出来ないという結論に至り、LRMに現行ルールを活かしたマネジメントシステムの構築を支援してもらうことにしました。

(3)必要に合わせて選べるサポートの範囲

コンサルティング会社によって準備の進め方は異なります。文書作成を含め丸投げの形で請け負う会社もありますし、LRMの比較対象だった大手コンサルティング会社のように宿題型もあります。後者は打ち合わせの度に宿題を課し、認証取得企業が作業して、次回の打ち合わせでコンサルタントがレビューするというスタイルです。

LRMは、ケースバイケースで対応するというスタンスでした。

我々は、自社のルールは自分たちで作ることが基本だと考えていますが、全て自社で作業をしていたら、目標としている期限内に認証を取得できないのではないかという不安もありました。

そこで、認証取得までは期限を優先し、必要に応じて助けを求め、認証取得後は自社で運用していくというストーリーを描き、LRMに依頼しました。取得企業と同調して一緒に取り組むLRMのコンサルティングスタイルは、ノウハウの吸収にもつながると考えました。

以上、3つの要因がLRMに依頼する決め手となりました。

保留にしていたCSA STAR登録が完了。セルフアセスメント結果にも自信

「一旦保留にしたCSA STARもLRMのサポートで最後までやりきることが出来ました」(ISMS事務局・荒木理仁氏)

「一旦保留にしたCSA STARも
LRMのサポートで最後まで
やりきることが出来ました」
(ISMS事務局・荒木理仁氏)

– ISMS認証とISMSクラウドセキュリティ認証の取得までの経緯を伺う前に、CSA STAR登録についてお伺いします。LRMにCSA STAR登録のサポートを依頼した理由、経緯を教えて下さい。

一度保留にしたものの、CSA STARには具体的な施策が示されているため、やり切る意義は大きいと思っていました。第三者機関の定めた評価基準に沿って、自社のセキュリティ状況を客観的に見て、現状の問題、今後の取り組み課題なども把握できます。また各項目に詳細なコメントをつけることが出来るため、クラウドプロバイダの情報セキュリティ対策がより可視化されるため、ユーザーへの訴求力も高まると考えていました。

そこで、LRMと契約する際、これまでの経緯を説明し、同時にサポートしていただけないかを相談したところ、CSA STAR登録の支援は未経験ながら、一緒に学習しながらで良ければ支援していただけるという回答をいただけたため、依頼しました。

– CSA STAR登録の打ち合わせは、どのような形で行いましたか。

ISMSとISMSクラウドセキュリティの打ち合わせとは別に時間を取ってもらい、SkypeによるWEB会議で行いました。こちらは井崎さんに担当していただきました。

WEB会議では、約300項目のベストプラクティスの記述について、どう解釈して良いか分からない箇所を洗い出して、サービスの開発運用における取り組み状況を説明しながら相談しました。井崎さん自身、その場で判断できずに持ち帰ることがありましたが、次の打ち合わせには回答を用意してきてくれました。

2月からスタートし約2か月間で約300項目の検討を一通り終えた後、「No」と回答した項目を再度検討し、改善できるものは改善していきました。その際の改善に関しても井崎さんにアドバイスをいただきました。

以上のような経緯で、一旦は保留したセルフアセスメントをやり切ることが出来ただけではなく、「これなら公開できる」というレベルでしっかり自社のサービスのセキュリティ体制を評価することが出来ました。

井崎さんも非常に苦労されたと思いますが、おかげで不明な点は解消することができました。LRMの支援がなければ、仮にセルフアセスメントを終えたとしても、その結果に対する自信を持つことは出来なかったでしょう。

現行ルールを活かした情報セキュリティマネジメントシステムの構築

– ISMSとISMSクラウドセキュリティについて伺います。両認証取得の準備を進めるための社内体制をお話し下さい。

LRMとの打ち合わせはISMS事務局が担い、社内での作業はISMS事務局と開発部門が連携して行いました。

– 両認証取得の準備はどんな風に進みましたか。

重点的に行ったのがベースライン分析です。約半年かけてISMSの管理策114項目と、ISMSクラウドセキュリティの管理策79項目を順番に検討しながら、現行ルールとのギャップアンドフィットを行い、その後、文書体系をまとめていきました。ベースライン分析は、ISMSとISMSクラウドセキュリティでそれぞれ分けて行いましたが、文書体系はバラバラではなく、1つにまとめてもらいました。

ここまでがルールを固める作業であり、ISMSとISMSクラウドセキュリティの両認証取得に向けた活動のメインです。その後は、従業員教育、内部監査、マネジメントレビュー、そして審査という順番で進みました。

– 現行ルールを最大限に活かす方針を決めてLRMにコンサルティングをご依頼されたわけですが、その方針に対する結果はいかがでしたか。

方針通りの結果となりました。今回、新規に作成した文書類は、ISMSマニュアルやISMSクラウドセキュリティのガイドラインです。その他は既に存在している文書を活かしました。

– ベースライン分析の結果、現行ルールに変更を加えた点はありませんでしたか。

全社で運用している現行ルールは、ISMSの旧規格であるISO27001:2005のフレームワークに沿って構築したものです。ISMS認証を取得するには最新版のISO27001:2013に準拠する必要があります。そのために改善すべき箇所は、現行ルールの運用を担うIT部門と相談し、今回の認証適用範囲とした部門のローカルルールとしてチューニングしました。例えば、端末やサーバーなどにログインする際の様々なパスワードの管理ルールや、外出先でのWi-Fi利用に関するルールなど最新版の規格に合わせる形で補足して明文化しました。

ISMSクラウドセキュリティに関しては、既存のセキュリティホワイトペーパーを確認し、規格の要求に対して不足する部分を追記しました。また、サービス自体が新しいため、バックアップやログの台帳など、文書化が後回しになっていたところがあったため、この機会に整備しました。

– 御社側で担った作業内容をお話し下さい。

ベースライン分析で検討した内容を文書類にまとめていく作業はLRMに担っていただきました。弊社側の作業は主に以下の3つです。

(1)持ち帰り検討事項の精査

ベースライン分析を進める中で、ISMS事務局メンバーだけでは決めかねる箇所がいくつもありました。打ち合わせの場で決められない場合は、社内に持ち帰り、開発部門を交えて検討して対応を決めました。 また、ISMSクラウドセキュリティ認証にかかる作業では、CSC(サービス利用者)側の対策としてサービスのクラウド基盤に利用しているマイクロソフト『Azure』のセキュリティ仕様について、利用規約を確認したり、マイクロソフト社に問合せを行ったりしました。

(2)文書類の吟味と追記

ベースラインに基づいてLRMが作成した文書類の内容をISMS事務局が吟味し、必要があれば追記していきました。

(3)情報資産台帳の作成

開発部門が中心となって情報資産を洗い出し、情報資産台帳を作成しました。また、ISMS事務局の立場からは、現場でメンテナンスができる情報資産台帳を作るために意見を交わし、一緒にレビューを繰り返していきました。

– それらの作業をする中で苦労したことはありましたか。

苦労したのは、最も時間をかけたベースライン分析です。当初は隔週で打ち合わせをしていましたが、数か月たった時点で、予定よりも遅れはじめていることがわかり、毎週打ち合わせをするようになりました。

予定以上に時間がかかった理由は2つあります。

1つは現行の全社ルールとのギャップアンドフィットに手間がかかったことです。弊社の全社ルールは、ベースにグループ全体のルールがあるため、規格の要求に合わせる際に、ISMS事務局メンバーだけでは即答できないことが多くありました。

もう1つは勉強をしながら作業をしていったということもあります。認証取得後は自分たちで運用することになるため、表面上の理解だけで終わらせたくない気持ちがあり、ベースライン分析の中で不明な点があれば、疑問がなくなるまでLRMに質問しました。

打ち合わせ後は必ずISMS事務局メンバー同士でその日の打ち合わせ内容を振り返りましたが、その中でさらに疑問が生じると、次回の打ち合わせ時に聞こうということになりました。そのためLRMとの打ち合わせは毎回、前回の復習から入りました。2時間の打ち合わせのうち、毎回、冒頭の約30分間は前回の復習に充てていました。それに対して幸松さんと井崎さんも丁寧に応えてくれたため、大変勉強になりました。

例えば、ISO27017には、クラウドサービス提供者として「ログ機能を利用者に提供しましょう」という管理策がありますが、具体的に、どんなログを提供すればよいかまでは記載されていません。また、クラウドサービスの利用者に、バックアップの機能に関する情報を提供するよう求められていますが、こちらも、具体的にどのような情報か、までは特定されていません。それらはビジネスやサービスによって変わるものです。弊社としてどう規定すれば良いかという判断で、非常に悩みました。そのような時はLRMに相談し、アドバイスをもらい、落としどころを探っていきました。

ISMS事務局向けの内部監査で審査対応への準備も万全に

– 従業員教育を実施したのはいつですか。

従業員教育は、2017年8月、LRMが提供するセキュリティ教育クラウド『セキュリオ』を活用して実施しました。

「理解度をチェックするための仕組が用意されている点が便利なeラーニングシステム」

– セキュリティ教育クラウド『セキュリオ』を活用されたご感想をお話し下さい。

『セキュリオ』の便利な点は、テキストだけではなく、理解度をチェックするためのテストが用意されている点です。テスト結果が記録され、合格するまで再テストを繰り返す仕組みです。従業員1人1人の理解度を確認することが可能ですし、その記録は審査資料としても活用出来るため非常に便利でした。

社内にも情報セキュリティに関するeラーニングシステムがあり、毎年定期的に全社員に対して実施してきましたが、クラウド関連の教材はなかったので、従業員教育の実施はどうしようかと話し合っていました。自分たちで勉強会を開催するにしても、間に合いそうにないと考えていましたが、LRMにeラーニングシステムとコンテンツをご提供いただいたことでスピードが上がり、非常に助かりました。

– 内部監査はどのように行いましたか。

内部監査に関しても今回は勉強の機会とし、LRMに内部監査員を代行してもらって実施しました。その中で注意喚起や改善点をご指摘いただき、現場にフィードバックをしたことで、例えば、「ログをきちんと取る」ことの重要性を再認識するなど、現場の意識向上につながりました。

また審査前には、ISMS事務局向けの内部監査も実施してもらいました。文書類をチェックし、どんなことを聞かれるのか、どのような回答をすれば良いかを一通り整理していきました。ドキュメントの各項目がどの管理策に該当するのかを示すマッピングも用意してもらいました。審査を迎えるにあたって不安がありましたが、直前に確認が出来たことで、安心して審査を迎えることが出来ました。

以上の経緯を経て、9月に第2段階審査を受け、11月中旬にISMSおよびISMSクラウドセキュリティの両認証を無事に取得しました。

自社の情報セキュリティマネジメントシステムを第三者的視点で再評価

「セキュリティルールを標準化されたルールとして根付かせるきっかけが作れました」(ISMS事務局・梅永明宏氏)

「セキュリティルールを標準化
されたルールとして根付かせる
きっかけが作れました」
(ISMS事務局・梅永明宏氏)

– ISMSおよびISMSクラウドセキュリティ両認証取得の取り組み成果をお話し下さい。

今回の取り組みは、自社の情報セキュリティマネジメントシステムを第三者的な視点で再評価する機会となりました。

全社で運用する現行ルールについては、LRMと一緒にベースライン分析を行ったことで、ISMSの規格にしっかりと準拠したものであることを改めて再確認することが出来ました。また、全社ルールにはないクラウドサービスの開発運用に関するセキュリティも、比較的しっかり対応できていることが確認できました。

ただしクラウドサービスのセキュリティについては、クラウドに詳しい個人の力量に頼る部分もありました。認証取得を通し体系的な文書にまとめたことで、標準化されたルールとして組織に根付かせるきっかけを作ることが出来ました。

以上の成果はISMS事務局メンバーにとって、今後クラウドサービスのセキュリティレベルをさらに高めて行くモチベーションとなっています。弊社は、2017年10月、ソリューションの提供で収益を得るビジネスを拡大するためにビジネスワークフロー・ソリューション事業本部を立ち上げました。既存クラウドサービスの開発運用を担う部門も同事業本部へ移っています。今回、ISMSおよびISMSクラウドセキュリティ両認証取得は最小限の部署を適用範囲としましたが、次回の維持審査以降、適用範囲を拡大する計画です。ISMS事務局では、新しく立ち上がるソリューションビジネスに貢献するために、クラウドセキュリティの活動を深めて行こうという思いを強めているところです。

– ISMS活動に取り組むメリットについてお話し下さい。

ISMS活動に取り組むメリットは2つです。

1つは社外に対する訴求力です。ビジネスを発展させる上で、第三者認証を取得していることを示す意義は小さくありません。

もう1つは社内への貢献性です。情報セキュリティの成熟度は、スキルを持った人材が在籍するプロジェクトと、そうではないプロジェクトで大きな差が生まれます。ISMSの仕組はその偏りを解消することが可能です。ISMS事務局のミッションも、そこにあると考えています。

特に、ISMS事務局はクラウドサービスのセキュリティレベルを強化するために組織化されたという経緯がありますので、今回の取り組みで蓄積した知見を活かし、クラウドビジネスに貢献していきたいと考えています。

柔軟性のあるコンサルティングがLRM最大の強み

– LRMのコンサルティングを受けたご感想をお話し下さい。

契約時に期待した通り、LRMには、弊社に合わせてカスタマイズしたコンサルティングをしていただきました。
ISMS認証とISMSクラウドセキュリティ認証の同時取得プラスCSA STAR登録は、他のコンサルティング会社ではまず実現できなかったと感じています。

基本的にコンサルティングというサービスは、線引きをしなければ成り立たないビジネスではないかと思います。
クライアントの要求を全て聞いていては、収拾がつかなくなる危険があります。コンサルティングを受けたことがある多くの経験者から話を聞いた限りでは、その線を崩さないコンサルタントが多いと感じていました。

しかしLRMにはそのようなとっつきにくさは感じません。例えば井崎さんは、現行ルールを読み込んで弊社の社員と同等のレベルでルールを把握した上でコンサルティングに臨んでくれたり、ISMSクラウドセキュリティの管理策の解釈に悩む我々向けに、自分なりの解釈を文書にまとめて提供してくれたり、壁を感じさせない対応をしてくれました。
そういった対応が、相談や質問のしやすさにもつながっていると思います。

定型化されたやり方を押し付けるのではなく、認証取得企業の事情に合わせてサポートできることがLRMの最大の強みではないでしょうか。

「LRMには最後までしっかりサポートしていただきました。とっつきにくい印象は全くありませんでした」(左側手前から;實氏、上之郷氏、梅永氏、荒木氏)※右は弊社 幸松と井崎

「LRMには最後までしっかりサポートしていただきました。とっつきにくい印象は全くありませんでした」
左側手前から;實氏、上之郷氏、梅永氏、荒木氏(※右は弊社 幸松と井崎)

“脱コンサルタント”を目指し『情報セキュリティ倶楽部』を契約

– 今後の課題などがあればお話し下さい。

今後ISMS事務局として目指していることは、今回LRMに依頼したことを、出来る限り内製化していくことです。
特に内部監査は全て代行していただいたので、自社内で対応できる体制を整備していく必要があります。ISMS事務局のメンバーだけでは全部門に対応できないので、将来的には内部監査員の育成も課題となるでしょう。

また、ISMSとISMSクラウドセキュリティの両認証を維持していくだけの活動にとどまっていては組織としての発展性がありません。将来的には、セキュリティを維持するプロセスだけではなく、技術面やビジネス面を含め、開発部門に対するアドバイスや支援をワンストップでできる組織に発展させたいと考えています。

–  LRMへのご期待をお話し下さい。

「内製化=脱コンサルタント」ではありますが、今すぐ独り立ちすることはできません。特に次の維持審査では認証範囲の拡大も予定していますので、専門家のサポートが必須です。そこでLRMのISMS運用改善サービス『情報セキュリティ倶楽部』を契約しました。新規取得の際は、LRMが我々の前に立ってリードしてくれましたが、次の維持審査に向けては、後ろから支援をおこなうことで、自立を促していただければと考えています。

京セラドキュメントソリューションズ株式会社様、お忙しい中、有り難うございました。今後ともよろしくお願いいたします。

京セラドキュメントソリューションズ株式会社様、お忙しい中、有り難うございました。
今後ともよろしくお願いいたします。

※ 京セラドキュメントソリューションズ株式会社様のWEBサイト
※ 取材日時 2017年12月

他のコンサル導入事例を見る

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る