世の中には「前任者が急に退職してしまった」「急に社長がISMS認証を取りたいと言い出した」など様々な理由で「急遽ISMS運用担当者になってしまった」という人がいるようです。
ただでさえ日本はセキュリティ人材が不足しており、社内に「ISMSに詳しい人」「セキュリティに詳しい人」が都合よく存在する確率は低いので、どうしても初心者が抜擢されてしまうケースはあります。
そこで、過去に「ISMS初心者なのに急にISMS運用担当者になっちゃった経験」を持つわたしが、「ISMS運用を始める前」「ISMS運用中」「ISMS認証の外部審査を受けたとき」の3つの点で意識したことや取り組んだことを、書いていきたいと思います。
「こんな人でもなんとかISMSを運用できてるんだな~」と、みなさんが自信を持ってくだされば幸いです。
最低限「ISMS」「ISO27001」といった単語に聞き馴染みはありましたが、実際に規格を読み込んだり、書籍を読んだりといった経験はありませんでした。
運用においても、「外部審査」を受けなければならないことや、外部審査を受けるまでにいくつかやらなければならないことがあるとは知っていましたが、具体的な内容までは詳しく把握していませんでした。
IT系の資格で持っているのはITパスポートくらいのものでした。職歴はマーケティングやカスタマーサポートが中心でしたので、ネットワークなどに関する詳しい知識もありませんでした。
そのような状態ながら(というか、そのような状態だからこそ?)、「ISMSについてちょっとは知識つけといた方が良いと思うから、やっといたら?」という社長の一言により、ISMS運用担当者に急遽抜擢されるに至りました。
まずはISMSの全体像を理解しなければいけません。
専門用語や言い回しに苦しむことは予想できていたので、最初は規格ではなく本を読みました。
ISMSに関する本も色々とあるようですが、私は社内に置いてあった『図解入門ビジネス最新ISO27001 2013の仕組みがよ~くわかる本』を読みました。
ただ正直こちらの本は、「社会人歴3年ほど」「ISMSやITの基礎知識ほぼ無し」というわたしには少し難しかったです。そのため、読んでも理解できない箇所は、都度Googleで検索しながら読み進めていきました。