Author
大貫 浩Hiroshi Ohnuki
リックソフト株式会社 柏事務所は、情報セキュリティマネジメントシステム(ISMS)の国際規格「ISO/IEC 27001:2005 / JIS Q 27001:2006」の認証を取得いたしました。
リックソフトはISMSの取得の際に、アトラシアン製品の「Confluence」と「JIRA」を利用し、非常に役立ちました。
審査員の方もこれらのツールを高く評価してくださいました。
そこで、どのようにこれらのツールが役立ったのかをここでご紹介したいと思います。
ISMSを取得するには、作成する文書がたくさんあり、その改版管理、関連書類の管理、または廃棄書類の管理などがとても大変です。
そんな時に威力を発揮するのが、
文書管理ツール「Confluence」 です。
- 階層で管理しているので、どの文書がどこにあるのかがすぐにわかります。 リックソフトでは、「稼働中の文書」「記録文書」「参考資料」「廃止文書」に大きく分けて、その配下にそれぞれの文書を保存しています。
- 最新の文書がひと目でわかります。 Confluenceはバージョン管理ができるので、修正前のファイルをバージョン毎に見ることもできます。
- ファイル名を忘れても、高精度な検索機能で添付ファイルの内容まで検索します。
- 文書は何度も修正され、レビューされ、また修正の繰り返しです。 そんな時はコメントやメンション機能で変更箇所を担当者からお知らせできます。 どこを修正したかなどの履歴もすべて残ります。
- 機密書類と共有する書類の設定は、権限設定でユーザー単位、グループ単位、スペース単位でできます。
例えば、ISMS年間計画書、リスク対応計画書、ISMSマニュアルなどISMSチームが作成する文書は、ISMSチームが管理するスペースへ保存し、その中の情報セキュリティハンドブックや、セキュリティールール、パスワード命名規約など全社員に共有するものは、みんなの共有スペースへ保存し、セキュリティ教育の際にそのスペースを参照してもらったり、見たい時はいつでも確認できるようにしました。
では実際の事例をご紹介します。
ISMSチームメンバーはそれぞれ自分の仕事がありながら、ISMSの仕事も兼務しているので、全員が集まってミーティングする時間をたくさんとることができません。
しかし、各チームの調整、新しく定めるルールなどは山のようにあり、しかも審査日は決まっていて非常に短期間というスケジュールです。
そこで私たちのとった方法は、
- まず次のミーティング日のページを作成しました。例えば「2013/04/01向け資料ページ」というように。
- 次のミーティングまでにおのおのが準備する文書を作成し、そのミーティングページへ文書をアップロードしました。
- それぞれ自分の時間のあるときに、事業部長、ネットワーク管理者、内部監査人、事務局の立場からレビューをし、気になる点をコメントしました。
- ある程度社内で文書ができあがったら、コンサル会社と共有しているConfluenceのスペースにその文書をアップロードし、コンサル会社に事前に確認してもらいました。
- 週に一度のミーティングの時には、全員が事前に文書を確認している状態で、疑問点も分かっているので、ミーティング自体はスムーズに効率的にすすめることができました。
それを繰り返して、下記のようなたくさんの文書を短期間で作成することができました。
(ちなみにこの画像はConfluenceのプラグインGliffyで作成しています。オンラインで簡単に作図ができるのです。)
審査員の方からは、
“社内で利用しているツール(Confluence、JIRA)をナレッジベースまたは、ログ管理として、実に見事に活用されていますね。関心するばかりです。”
とお褒めのお言葉をいただきました。
また少しですが、
タスク管理ツール「JIRA」をご紹介します。
リックソフトでは、社内インフラの障害記録やアクセス権限の付与・変更・削除など作業履歴に「JIRA」を活用しています。作業単位にチケットが作成され、上長の作業指示、担当者の作業実施と履歴、作業完了後の承認などの一連の管理手続きが明確に行えます。
最後に、
今回のISMS取得は、コンサル会社のご尽力と、事業部長の決断力と、内部監査人の緻密さと、ネットワーク管理者のマイペースさと、事務局の冷や汗がうまくミックスされた結果だと思います。
そしてなりより、全社員のセキュリティーに対する意識の高さが一番でした。
ご協力ありがとうございました。
今後も慢心することなく、PDCAをまわして、更に良いISMSの運用をしていきたいと思います!
ISMS事務局:渡辺