ISMS統一認証の特徴
日本IBMグループでは、これまで日本IBMの全部門、日本IBMグループ会社の一部においてそれぞれの会社で別々にISMS認証を取得してきました。 2009年度は、全社・全グループ参加の日本IBMグループISMS統一認証取得を目指し、11月に更新いたしました。 ISMS統一認証の狙いは、以下の通り、全社・全グループのセキュリティレベルを向上させ、お客様に提供する価値を最大化して行くことにあります。
- 日本IBMグループの一部のみがISMSに取り組んで、それ以外の会社や組織が残った場合、そこからグループ全体の情報セキュリティの脆弱性となる
- 日本IBMグループ共通に、遵守すべき基本線としてのセキュリティレベル(ベースライン)を維持する
- 各社・各組織が構築時期や方法が異なって、別々に展開した場合と比較すると、大きな効果・効率を期待できる
情報セキュリティレベルの底上げ
情報セキュリティ・マネジメント体制
日本IBMグループは、米国のIBM Corporationの規定、及び日本IBMの規定の整合性をとってグループ全体で遵守すべきセキュリティ対策を体系化し、チーフ・インフォメーション・セキュリティ・オフィサー(以下CISOと言う)とセキュリティ委員会を中心とする体制を確立してISMSを実践しています。 CISOは、情報セキュリティだけでなく、関連する物理セキュリティ・ITセキュリティ・プライバシーを統轄し、情報セキュリティ強化を推進します。又、CISOの統轄の下、セキュリティ委員会は、毎月開催され、委員としては、全社の各部門及び各グループ会社から代表者を選出して、セキュリティ委員会において、セキュリティ活動の見直し、監査結果報告と改善活動、今後の活動予定等を審議して、セキュリティ・アウェアネスの向上、ルールや手順の徹底等を図っています。
【情報セキュリティ・マネジメント体制】
情報セキュリティ規定体系
日本IBMグループは、IBM Business Conduct Guidelines(以下BCGと言う)をIBM社員が遵守するべき行動指針を土台として、IBM Corporation全体で共通に遵守すべきポリシー、スタンダード、及びガイドラインを基にした情報セキュリティ規定体系に加えて、日本IBM及び各グループ会社が共通に遵守すべき規程類と合わせて、日本IBMグループの規定体系を確立しています。さらに、各グループ会社の事業を遂行する上で独自の規程を必要とする場合は、追加できるようになっています。
【情報セキュリティ規定体系の図】
IBM社員は、BCGを行動指針に、ポリシー、スタンダード、ガイドラインの情報セキュリティ規程遵守が要求されています。
- IBM Corporation全体で統一した管理体系
- 明確な責任分担と内部統制
- IBM BCGを土台とした情報セキュリティ管理体系
グループ企業は、グループ企業全体で共通に遵守すべき規程類と整合性を取って、グループ企業独自の規程を追加することができます。
- ベースライン以上のセキュリティレベル
- お客様情報管理の特別なルール
- 独自の規定がなくても文書化と記録は必要
ISMS適用範囲
ISMS基本方針
ISMS基本方針は、ISMSを計画し構築・実践する際に、ベースとなる指針ですが、日本IBMグループでは、この基本方針の中に従業者の行動指針として、ISMSを計画し構築・実践する際の取り組みの方向性や従業者の責任を示しています。(ISMS基本方針からの一部抜粋)
ISMSに基づく情報の管理の実践
- 日本IBMグループは、情報セキュリティ管理体制を明確にし、情報の機密性・可用性・完全性を維持していくための組織的な取り組みを、継続的に運用・改善する。
- 従業者は、情報資産の識別、及びリスク評価に基づき情報の管理を行うこと。
お客様との契約、及び法的要件の遵守
- 従業者は、お客様との契約上のセキュリティ義務、関連法令および業界基準等を遵守すること。
情報セキュリティにおける責任の明確化
- 従業者は、社内で定められたセキュリティ規定の実施責任を持つ。
- 従業者は、情報セキュリティに関わる職責に応じて情報セキュリティ教育・訓練を受けること。
- 従業者は、情報セキュリティ規定の違反や弱点について正しい報告手順に従って報告すること。
- 所属長・リーダーは、自組織・自チームの従業者に対して正しいセキュリティ規定を理解させ、遵守させる責任を持つ。
- 日本IBMグループは、報告された情報セキュリティ規定の違反や弱点を調査し、必要に応じて改善処置を行なう。
- 日本IBMグループは、セキュリティに関する方針および規定類を、定期的または事業環境の変化等によって適宜見直す。