責任を担い、企業の健全発展を推進

------用友ソフトエンジニアリングのISMS実施の道程

当社は創立して四年以来、多くのITサービスの実践を通じて、クライアント情報の安全を保護し、完備した情報安全管理システム(ISMS)を構築する必要性を痛感して情報安全管理を当社の重点的な管理システムとして構築することと決めました。良好な情報安全管理とシステムはクライアントに優れたサービスを提供する重要な保障だと認識しております。そこで、多数の優秀な情報安全認証とコンサルティングサービス機関から世界最初の国家標準化機関-英国規格協会(British Standards Institution; BSI)を選定しました。BSIのサポートと指導の下、当社では情報安全管理方針――「お客様に委託された責任を担い、企業の健全発展を推進」する方針を樹立しました。

1.情報安全管理システムの重要性と必要性

中国が世界のITアウトソーシングサービス市場で新しい勢力として成長を遂げているなか、海外のクライアントは情報の安全性を最も心配しているようです。クライアントはベンダーがサービスを提供してくれる過程において、知的財産権の保護や重要情報の漏洩防止など安全性と信用度を憂慮することが普通です。これは世界をリードする専門技術と市場の知名度によって解決できるテクニカル問題ではなく、私たちがサービスにおいて如何にクライアントの情報を尊重し、クライアント情報の安全性を保護するかという管理意識に関わっています。
用友ソフトエンジニアリングは中国のソフトウェア輸出企業として、情報安全が会社の生存と発展にもたらすリスクを深く認識しております。また、情報安全管理システムの構築は会社の解決せざるを得ない課題で、情報、ソフトウェア、ハードウェア、従業員、サービス及び企業イメージなど、すべてが会社の重要な情報資産であることも認識しました。情報安全システムの構築、実行及び改良は競争の優勢を保ち、業務の連続性、法律の適合性及び企業イメージの保障に対しいずれも非常に重要なものです。
グローバル化ITアウトソーシングサービス市場のニーズを基に、会社自身の情報安全管理水準を高めることから考え、国際的な業界汎用基準ISO27001に基づき用友ソフトエンジニアリングはBSIの指導と提案の下、独自の情報安全管理システム(Information Security Management System-ISMS)の構築をスタートさせ、そしてそれを会社全体管理システムの一部として実施し始めました。

2.ISMSの実施過程

会社の情報安全管理の現状と特徴に合わせ、用友ソフトエンジニアリングはBSIと協力し、「企画-実施-検査-改良」(PDCA)のモデルを採用して会社全体のISMSプロセスを構築することにしました。建設、実施、運営、監視、審査、メンテナンスから改良までのプロセスを以って会社の重要情報資産の機密性、完全性及び利用性を保障しています。以下は当社のISMS構築のストラテジー、範囲、目標と組織構造及び実施過程を紹介します。

2.1 情報安全管理体系のストラテジー、範囲と目標
BSIの指導の下、当社ではISMSチームを立ち上げ、ISMSの構築を一つのプロジェクトとして管理し、そしてISMSプロジェクトのWBSを制御可能な段階に分解しました。会社の重要業務、重要情報資産を分析と制御することを考慮してISMSの全体的な枠組みを設定し、徐々に用友ソフトのすべての業務プロセス、情報資産を情報安全管理システムの中に納めました。

まず、ISMSチームは会社の総裁及び中高級マネージャーとコミュニケーションをとり、ISMSのカバー範囲を確定しました。用友ソフトエンジニアリング本部が北京にあるため、ISMSは北京本社の各部門で実行し始め、審査に合格してから各支社へ普及するように実施されました。ISMSのカバー範囲は知的財産権保護のすべての情報、社員(協力会社の派遣社員を含む)の個人情報、すべてのクライアント資料と情報、パートナーの情報、契約書の情報、用友ソフトエンジニアリング所属のITシステム、専有技術、設備、文献ファイル、会社規則制度及びその他の情報と情報キャリアーを含まれています。

次にISMSチームは総裁の承認を得て「お客様に委託された責任を担い、企業の健康的な発展を推進」する情報安全方針を制定し、情報安全要求を提出しました。
(1) 情報安全方針を徹底的に実行し、業務の連続性を確保する。
(2) ビジネス活動により取得したクライアント及び会社の専有技術などの情報を保護する。
(3) 会社の業務運営プロセスの各環節においてすべての情報の機密性、完全性、利用可能性を確保する。
(4) 従業員全員に情報安全の養成訓練を受講させ、全員の情報安全意識を高める。
(5) 定期的に内部審査と管理評価を行い、システムの有効的な運営を確保する。
(6) 関連の情報安全措置は法律と法規の要求に適合しなければならない。
(7) 業務システムの利用可能性や各部門の情報安全事故、クライアントからのクレームなどの方面から会社全体の情報安全目標を制定した。

2.2 情報安全管理システムの組織構造
方針の確立と同時に当社では完備した情報安全管理システムを建設しました。その組織構造は下図の通りです。

ISMS

2.3 ISMSプロジェクトの各段階
ISMSプロジェクトの実施は大きく6つの段階に分けられます。下図の通り、前期の準備段階、リスク格付け段階、ISMS建設段階、ISMS運営段階、内部審査及び管理評価段階、認証審査前の予備審査及び改良段階を指します。

                 

3.業務の連続管理

ISMSチームは各部門とのコミュニケーションを通じて当社の重要的な業務を影響する災難とセキュリティ失効の状況をまとめました。主にはウィルスの大規模発生、ネットワーク中断、メインサーバーの中断などが挙げられます。それで中断してはならない災難に対し、業務の連続性計画を作成し、シミュレーションと定期的な演習を行うことによって突発事故及び外部からの脅威に対応するリスク防止能力は大幅に向上しました。

3.1 業務連続性管理のストラテジー
計画的及び制御可能な状況の下で、業務停滞、失敗或いは災難による影響を減少させる予見可能な措置を実行し、なるべく業務活動の中断を解消します。重要業務プロセスを重大故障或いは災難の影響を受けさせないように保護し、会社の重要業務中断事件の発生を防止及び減少させ、予想外の事故による影響を減少し、業務中断の復旧時間を短縮させ、会社の重要業務活動の連続性を保証します。

3.2 業務連続性管理のメインプロセス
(1) 重要的な業務プロセスを確定し、緊急順次を決める。
(2) 業務の中断を引き起こす主な災難とセキュリティ失効を確定し、これらによる影響の度合いと復旧所有時間を確定する。
(3) 日常作業の中でどんな停滞が業務に影響を及ぼすかを把握し、業務復旧に必要な資源とコストを確定する。どのプロジェクトに業務連続性プログラム(BCP)/災難復旧プログラム(DRP)が必要かを決定する。
(4) 定期的に業務連続性プログラム(BCP)/災難復旧プログラム(DRP)をテスト及び更新し、社員に対し訓練を行う。
(5) 定期的に会社のリスクを審査及び管理評価し、潜在的な災難とセキュリティ失効を迅速に発見する。

4.経験の纏め

ISMSプロジェクトの実行前期に会社では系統的な分析とリスク認識を行い、緩和、制御と管理などのマルチルートを通じてリスクを低減させました。これもシステムの構築とプロジェクトの成功を保証する前提です。

ISMSは情報が直面する各リスクの識別、管理と減少に助力し、当社ではISMSの実施過程において以下のよう経験を蓄積しました。

(1) 会社のトップ管理層の情報安全管理体系に対する承諾と支持が必要。養成訓練及びトップ管理層の強力な支持により社員の情報安全管理システム建設に対する疑問と抵抗をなくす。
(2) システムは企業カルチャーと一致性を保ち、業務運営目標とも一致する。構築した情報安全管理システムは会社運営の実情に適合し、真に会社のために役に立たなければならない。情報安全管理システムの定義の中で、なるべく限りある資源の役割を発揮させるようにする。
(3) 重要情報資産を識別し、情報安全の要求を明確にしてリスク評価システムの方法をはっきりさせる。
(4) 適格な情報安全チームのリーダーを選び、上層部はその仕事を十分にサポートする。各部門各職場の情報安全の職責を明確にし、系統的、プログラム的、文書的な管理システムを構築する。
(5) 有効的に宣伝、養成訓練を行い、情報安全意識を高める。
(6) 均衡的な測定制御システム、持続的に各変化を監視し、監視結果から持続的に改良を行う機会を捜し求める。

用友ソフトエンジニアリングはISMSの全面的な実施により、管理層から一般社員まで、情報安全管理の意識が高まり、「お客様に委託された責任を担い、企業の健全的な発展を推進」する情報安全の方針が深く根付くようになりました。情報安全管理はすでに社員一人ひとりが日常作業の中で自覚的に行う行動に化しています。
 
ISO27001システムの構築と実施により、用友ソフトエンジニアリングは完備した情報安全管理システムが構築できて、会社の安全関連活動に明確な目標と作業ガイドを提示しました。システムの方法を通じて組織保障システムを構築し、情報安全リスクのコントロール能力を備え、会社中心業務の運営持続可能性を保障しました。ISO27001の要求を業務プロセスに導入することにより、既存の業務運営がより安全且つ規範化にし、会社自身とクライアント情報資産の安全性を全面的に高めさせました。特にクライアントの知的財産権と商業機密に対する保護が強化され、クライアント情報の安全を保障するレベルを引き上げました。さらに大事なのは、クライアント情報に対する一貫した尊重の態度を表れたのです。ISMSはプロジェクト管理、プロセス制御において世界の先進レベルに一致するように確保してくれた。ISMSの成功的な実施で用友ソフトエンジニアリングはリスクのマネジメント能力が国際機関に認可されたことを表明しました。また情報安全サービス分野におけるプロのイメージをさらに印象付け、ソフトウェアとITサービス企業の情報安全管理建設において国際的にもトップレベルに達していることも証明されたと言えます。