ISO27001認証を取得するにあたり、企業はISMSInformation Security Management Systemの略。アイエスエムエスと読む。（情報セキュリティマネジメントシステム）を策定します。その内容が適切かどうか、きちんと運用されているかどうかを第三者（認定機関）が評価し、OKが出て初めて認証を取得（または維持）できます。

つまり、ISO27001認証は「国際基準をクリアしている」という「判定基準」であり、ISO27001認証を取得していることで、この企業の情報セキュリティ対策はどの水準まで達しているかを識別することができるのです。

実際にどんなことをしているのか？

ISO27001認証を取得・維持するために、弊社では様々な活動・取り組みをしています。以下に主な内容をご紹介します。

（１）リスクマネジメントの実施

事業活動を継続していく上では、セキュリティに関して様々なリスクが考えられます。これらを洗い出し、回避策や低減策を考えるのがリスクマネジメントです。

もしウエーブのウェブサイトが改ざんされた場合、以下のようなリスクが考えられます。

ウェブサイトをご覧になられたお客様のPCが、不正プログラムに感染してしまう
ウエーブが保有しているお客様情報が窃取される

ウェブサイトの改ざんにおけるリスクマネジメントについては、サーバー保守をしっかり行ったり、プログラミングのセキュリティ対策に気を付けたり、コンピューターウィルスの対策を行うなど、いろいろな切り口からリスクを分析し、様々な対策を講じています。

そのほかにも、

PCや機械が壊れたらどうなるのか？
泥棒が入ったらどうなるのか？

など、会社の中にはいろいろなリスクが存在しているのです。想定できる全てのリスクを洗い出し、対策を講じています。

（２）ISO関連の専属部署を設置

ウエーブには、ISO27001認証関連の仕事を担当する専門部署があります。

ISO27001認証を維持するためには、社員教育、リスクの洗い出し、改善策の立案、法律のチェックなど様々なことが求められますが、ISO27001の担当者は、これらのことをほかの仕事の片手間でやるのではなく、専属で行っています。

これによって、専門知識を高めるとともに、客観的に各部署を管理することができます。

（３）各部署に情報セキュリティに関する責任者を選任

専門部署の監督下のもと、各部署（製造部門や間接部門）に責任者を立てることで、全員参加型のセキュリティ対策を行っています。

各部署の責任者には「セキュリティ委員」という呼び名がついています。

（４）内部監査の実施

ISO27001認証では、年に1度、外部の専門機関による監査（外部監査）があります。外部監査に落ちると、ISO27001認証がはく奪されてしまいます・・・

そうならないように、社内でも第三者（別の部署とISO27001専属部署）による監査（内部監査）を実施し、ルールを遵守しているかを確認。問題がある場合は指導し、是正を行っています。

（５）マネジメントレビューの実施

現状報告を経営者へ報告し、今後の取り組みを計画します。
PDCA（Plan・Do・Check・Action）をしっかりと行い、継続的に改善をしていくことがポイントです。

（６）社員教育の実施

新卒者・中途採用者入社時にセキュリティ教育を実施、また全従業員を対象にセキュリティテストを年1回以上実施しています。

テストの点数が悪い人には再教育を行い、全従業員が常に正しく新しい知識を持てるようにしています。

（７）その他

そのほか行っているセキュリティ対策の分かりやすい例として、以下のようなものがあります。

私物の持ち込み制限
社内資産、記録媒体の持ち出し制限
IDカードによる入退室管理・立ち入り制限
外部内部の監視カメラの設置
印刷物や事務書類の廃棄は専門業者で溶解処分

まとめ

今回ご紹介したことは、ウエーブが行っているセキュリティ対策のほんの一部です。
今後も、お客様に安心してご利用いただけるように、情報セキュリティのリスクを管理し、継続的改善に努めてまいります。

ウエーブのセキュリティ対策のご紹介。ISO27001認証とは？

ISO27001認証を取得する意義