無料でご相談 「合格保証」不合格は紺サル費用全額返金

ISOコム通信

IT系企業なら取り組みたいISO27001の取得を支援しました

投稿日:2022年6月14日  最終更新日:2023年5月12日


こんにちは、ISOコム コンサルタントの加藤 政夫です。

神奈川県にて、制御系システム開発、業務系システム開発を行っているIT企業のISO27001新規認証取得を支援しました。

ISOコム株式会社 お気軽に今すぐご連絡ください!

ISOの認証取得・更新・スリム化の支援はお任せ下さい!

  • 東京
  • 大阪
  • 名古屋
  • 神戸
  • 福岡

会社案内ダウンロード

[業界の特性]

IT業界は、コロナ禍の影響を受けながらも、AI、IoT、DXなどの新技術による事業拡大が見込まれ、成長し続けている業界です。

[どんな事業なのか]

今回の企業は、お客様製品の制御系システム開発や、お客様の業務システム開発をしています。
多くの場合、お客様との共同作業となり、お客様先に常駐していることが多いのが特徴です。

[今回の支援内容]

今回は、ISO27001の認証取得をマネジメントシステムの構築から内部監査、マネジメントレビューまでの工程と、認証審査対応を支援しました。

認証取得の経緯は、
「今まで、Pマークの認証を取得していたが、より、情報セキュリティへの取組みを加速するために、ISO27001の認証取得をすることとした。」
でした。

[客先常駐とは]

支援企業の大半は、お客様と共同で仕事をしているため、お客様のオフィスエリアに常駐して作業をします。

情報セキュリティの観点では、お客様のルールに従って、業務を行うことになります。入退室管理や、顧客情報の取扱いなど、細かく規定されていることが多いと思います。

最近は、お客様のリモートワーク推進により、客先常駐の方もお客様のルールに従ってリモートワークすることも多くなってきています。

また、お客様との契約形態は、派遣もしくはSES(System Engineering Service)がほとんどです。

[SESとは]

ソフトウェアやシステムの開発・保守・運用における委託契約の一種であり、特定の業務に対して技術者の労働を提供する契約です。
技術者の労働を提供し、技術者の労働の対価を受け取ることになります。

[派遣契約とSES契約の違い]

派遣契約との違いは、指揮命令権の所在です。
お客様からの指示で動く派遣契約とは異なり、SES契約においては、お客様からの指示内容を、SES契約の責任者が受け、SESの作業者に展開することになります。

いずれにせよ、情報セキュリティに関しては、お客様のルールを守ることが重要になります。

[今回のポイント]

今回のコンサルの中で、ポイントとなったことをいくつか紹介します。

<ISMS構築>
1)お客様のルールに従う以外に何をやればいいのだろう
客先常駐の多い組織からすれば、お客様のルールに従うことさえやっておけばいいのではと考えます。

「それ以外に何をやればいいんだろう」と悩んでしまいます。
それを解決するために、自分たちの情報資産を洗い出すことから始めました。

そうすることで、自分たちで管理するべき情報資産を再認識することで自分たちのルールを作る必要性を理解していただくことになりました

2)自分たちのルールとお客様のルールの差
情報セキュリティに対する考え方は、お客様によって異なります。

厳密なルールを要求されることもありますが、ある程度の裁量が許されますが、結果責任を求められることもあります。

基本的には、お客様のルールを優先しますが、自分たちのルールの方が厳密であれば、それを適用することが必要になります。

<審査を受けるとき>
1)客先常駐組織が審査を受けるときは、どのような形で進むのか
これは、審査員や審査機関で多少差はありますが、以下のように想定すると良いと思います。

最初に、仕事の内容や、組織についての説明を求められます。
特に、客先でのしごとのやり方や、情報セキュリティに対する対策を中心に聞かれます。
その中で、審査員は、情報セキュリティの観点で確認したいことをピックアップします。

一般に客先のルールで実施しなければならないことについては、詳細な確認をすることは少ないですが、インシデントとして多い、入館証などの貸与物の紛失やメール誤送信に関わる確認はあると思います。

運用系の仕事では、本番システムのアクセスや、顧客情報・個人情報への配慮がどのようになされているのかが聞かれます。

プロジェクトの状況や勤務情報など、会社として管理しなければならない情報についてはどのように入手して保管管理しているのかなど確認されます。

別の観点としては、ISMSとしての活動(教育、ルールの確認状況)なども聞かれます。

[認証取得のメリットとは?]

いかがでしたでしょうか。

客先常駐型の仕事を中心にしているIT企業でのISO27001の認証取得の概要と、ポイントです。
もしかすると、客先常駐型の仕事はやりにくいと感じている方もいらっしゃったかもしれませんが、上記の考慮をすれば、なんとかなると感じていただけたのではないでしょうか。

お客様から、認証取得が取引の条件となることが多いIT業界ですから、その実態を理解して認証取得に取り組んでみてはいかがでしょうか。

ISOコムのコンサルにご興味をもたれた方は、今すぐこちらまでご相談を!
ISOコム株式会社お問合せ窓口 0120-549-330

その他のISOがわかる解説記事を読む

今すぐ無料でお問合わせ&ご相談

ISOの取得・スリム化・お見積についてご相談ください。担当者がすぐにご連絡します。
お急ぎの方はお電話(0120-549-330)でも承っております。

貴社名
お名前必須  お名前を入力してください。
住所 
メールアドレス   半角英数字
電話番号必須  電話番号を入力してください。   半角数字 (例) 03-1234-5678
お問い合わせ内容 

当社の個人情報のお取り扱い方法に同意いただける場合は「確認する」ボタンを押してください。