株式の店頭公開を行う企業の情報セキュリティマネジメント適合評価制度向けの社内基準と運用ルールの策定を支援しました。

• 情報システム部門に相当する部署はなく、総務部が試行錯誤していました
• 社内の物的IT資産の把握、ソフトウェア資産の把握はできていなかった
• 従業員数は約80人。会社貸与の機器以外に個人所有の端末も含まれていた
• 通販サイトの運営も行っており、個人情報を大量に扱っていた
• 専任の情報システム部員の採用は行わず総務部門長が兼務となった

実施した作業

• IT資産の棚卸を行い台帳化、導入・配布・廃棄の運用ルール作成を行いました
• 社で扱う個人情報について棚卸を行い、範囲・取り扱い方法・管理方法の運用ルール作成を行いました
• 情報漏洩が発生した場合の対処方法のルール策定を行い、漏洩が起きないようするための方策を提示しました
• 事業継続計画のうち情報システムに関する部分の取りまとめを行いました
• 上記４つをもとにリスク分析を行いました
• 経営層に対してのレビューと講習を行いました
• 従業員に対して個人情報保護、情報漏洩に関する講習を行いました
• システム管理者としてISMSの初期監査に立会しました
• マニュアルほかドキュメントの作成を行いました

実現できたことや課題

• 〇ISMS認証を取得することができました
• 〇ことITに関してブラックボックスはなくなりました
• 〇費用対効果はあったと判断していただきました。

作業に従事した期間：ISMS認証取得まで11か月