みなさんISMSという言葉を聞いたことがあるでしょうか
「Information Security Management System」の頭文字をとってISMS
日本語で書くと”情報セキュリティマネージメントシステム”となります。

国際規格のISOで定義され、ISOでいうとISO27001という規格になります。

よく「ISO〇〇取得したぜ!すげーだろ!」と企業が謳っているのを見たことがあるかと思います。(意訳)

さてこのISMSはなんのために取得するのでしょうか?
取得するとなんかいいことあるのでしょうか?

ISMSにはセキュリティについての様々な規定が定められています。
社員へのセキュリティ教育だとか、会社が保持している情報資産の保管場所やそこへのアクセス権限、
ISMSを運用していくための社内組織などなど。

それらの規定を会社の規定に落とし込み、遵守し、記録し、評価する。
そうすることでかいしゃとしての情報セキュリティに対する姿勢を外部に示すことができるわけですね。

ISMS取得の際には当然ながら外部機関の審査があり、また取得後も定期的な継続審査があります。
取得/維持をするのも大変ですが、それなりにコストもかかります。
規定を守るための設備投資だったり、外部コンサルタントを入れたりと。

一時期、ISMSと同等かそれ以上の厳しい社内規定を作り、ISMSの継続をやめる企業もちらほらありました。

「うちはISMSと同等以上の仕組みでセキュリティを担保している」

という謳い文句ですね。
なるほど、これならISMSの更新料も不要なうえ、
ISMSの信用を使って自社のセキュリティ体制をアピールできますね。
ただ、世間もそれなりに分かっているので、

”業務委託する条件としてISMSを取得していること”

という条件をつけて、なんちゃってISMSを評価しない場合も多いです。

さあ、みなさんはISMS取得をどう見ますか?

”信用できる仕組みを導入している”と見るか、”高いコストを払ってハクをつけているだけ”と見るか。

ただ、ISMSの導入を検討するだけでも、
セキュリティに対するアクションの一つであることには間違い有りません。