2018年7月17日火曜日

【事例】ISMS認証取得のためのGluegent FlowおよびGluegent Gadgets活用法

先週のブログ記事では弊社がなぜISMS/ISO27001(以降、ISMS)認証とクラウドセキュリティの国際規格であるISO27017/ISMSクラウドセキュリティ(以降、ISMSクラウドセキュリティ)の取得を目指したかの理由をご説明しました。 
今回はその認証取得の準備で実施した作業の一例として、弊社が提供するGluegent FlowGluegent Gadgetsを活用し、弊社のISMS運用に必要な情報共有・ワークフロー化の整備をどのように行ったかご紹介します。

運用ルールの社内展開に対する実施方針

一般的にISMS認証は情報セキュリティ管理者により社内の情報セキュリティマネジメントをどのようなものにするか検討し、構築および運用ルールを整備していくことになります。
そこで整備した運用ルールは、社内へ展開し徹底させる必要がありますが、「ISMS認証やISMSクラウドセキュリティ認証で必要な文書を用意しました。確認の上、日々運用してください。」と一方的にアナウンスするだけでは社内への浸透は難しいでしょう。そのため、社内展開に際して「どのように共有し、徹底させていくか?」「どうやって従来より効率的な運用が実現できるか?」「どうすれば必要な情報へ即アクセスできるようになるか?」という点について重要視しなかがら検討を進めました。その結果、初年度は以下の実施方針により、社内へ展開していくようにしました。

<社内展開における実施方針>
  • 各種文書およびルールについて余計なものは極力作らない。また文書ファイルは権限に応じて適切に共有・公開できるようにする
  • 暗黙のルールで実施していた業務プロセスは、可能な限り、プロセスを明確にしワークフロー化する
  • 情報セキュリティ管理者による情報発信およびその既読管理が行えるようにする
  • 各種文書・ワークフローの掲載先を絞り、利用者が迷わなくする

Gluegent FlowおよびGluegent Gadgetsを利用した社内展開
上記で述べた社内展開を行っていく上でどのように取り組んでいったか、以下に説明します。

各種文書およびルールについて余計なものは極力作らない。また文書ファイルは権限に応じて適切に共有・公開できるようにする
ISMS認証およびISMSクラウドセキュリティ認証で必要な各種文書をGoogle ドライブ上の文書として作成しました。Google ドライブ ではファイル共有設定が柔軟に行えますが、社員が必要としないドキュメントは敢えて参照できないように設定しました。

暗黙のルールで実施していた業務プロセスは、可能な限り、プロセスを明確にしワークフロー化する
クラウド型ワークフローであるGluegent Flowを利用し、新たに6個のワークフローを整備しました。
例えば個人利用しているPCやスマートフォン・タブレットを会社で利用する場合、その端末が情報セキュリティポリシーに従った対策が行われていることを条件としていますが、その確認と利用端末管理を確実にするため、「私有端末申請」というワークフローを新たに用意しました。申請者は申請対象である利用端末について適切にセキュリティ対策を実施した上で申請します。その後、情報セキュリティ管理者が確認・承認することで、その端末を業務で利用できるようにします。また、このワークフローで承認された私有端末情報はGluegent Flow自動処理によりスプレッドシート行挿入で台帳に出力しています。


情報セキュリティ管理者による情報発信およびその既読管理が行えるようにする
情報セキュリティ管理者により様々な情報発信が必要になります。そこでGluegent Gadgetsの掲示板ガジェットを利用することにしました。
掲示板機能であれば、掲示内容の既読・未読管理が行なえます。そのため、未読ユーザが誰なのか把握しやすく、催促メールを送信したり、個別にフォローすることが可能です。

各種文書・ワークフローの掲載先を絞り、利用者が迷わなくする
上記の取り組みだけでは情報の参照先が分散してしまうため、「ここにアクセスすれば全てが参照・利用できる」ページを作ろうと考え、Googleサイト上に社内ポータルページを構築しました。
そのポータルページではGluegent Gadgetsのドライブガジェットによる各種文書の一覧表示や、Gluegent Flowで整備したワークフローのリンク集などを掲載しています。
また、社内ポータルのアクセス方法も可能な限りシンプルにしたかったため、Gmailやカレンダーの「もっと見る」ランチャーに表示されるように設定を行いました。


以上、弊社がISMS認証およびISMSクラウドセキュリティ認証取得を目指した際にGluegent FlowおよびGluegent Gadgetsを使って社内共有を行った活動内容の事例をご紹介しました。まだ運用が始まって4ヶ月目となりますが、分かりづらい等の声は挙がっていないように思います。一方、「このプロセスもワークフロー化できないか?」「開発に関する標準ルールをここに掲載したい」等、改善に繋がる声はドンドン挙がっており、情報セキュリティ管理者としては嬉しい悲鳴を上げているところです(苦笑)。
なお、今回の構築例の詳細や活用法に関する詳細につきましては弊社サイトからお問い合わせください。