【ステップ1】ISMS(ISO27001)取得までの計画を立てる
まず始めに、
ISMS(ISO27001)の取得までの計画、いつ何をするかのスケジュールを最初に立てましょう。
本業が忙しく、ISMS構築や運用を後回しにしてしまい、放置していた…という状況をよくお伺いします。
そして審査が近づいたときに、「大変だ!何もやっていない!」と一気に進めようとして大変な思いをすることになります。
年間の運用計画、つまりスケジュールを先に立ててしまい、
いつ何をするのか、はじめに決めてしまうことで、
審査直前にタスクが山積み…という事態を防ぐことができます。
【ステップ2】ISMS(ISO27001)運用のための組織作り
次に、運用のための組織作りをしましょう。
可能であればISMS(ISO27001)プロジェクトのチームを作ると良いでしょう。
ISMS(ISO27001)の取得や運用は、それだけでコンサルタントという仕事になり得る、専門性が高いものです。
実際のところ、担当者を一人おいて、
通常業務と兼務でまかせてしまうことが多いですが、
一人だけに負荷がかかってしまうので、複数人で対応させる方が望ましいです。
「社内の人手が足りない」「忙しくてISMSについて調べたり勉強する時間がない」「取得を急いでいる」という場合は、コンサル会社のサポートを利用することを検討してみるといいでしょう。
ISMS取得のためのチームができたら、「情報セキュリティ方針」を作りましょう。
作った情報セキュリティ方針は組織内に周知しなければなりません。
情報セキュリティ方針がどこで確認できて、何が書いてあるのかを全員が把握できる状態にしておくことが大切です。
【ステップ3】リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)
はじめに情報資産を洗い出し、リスクアセスメントを行います。ISMS(ISO27001)を構築運用するとなると、資産目録(≒情報資産台帳)は必須です。
そもそも組織内にどんな情報資産があるかがわからないと、守るべきものが分からずセキュリティを考えることもできません。
自社にどんな情報資産があるか、洗い出してはっきりさせておかなければなりません。
ちなみに情報資産は個人情報やプログラムなどの情報自体だけではなく、情報を取り扱う機器なども含みます。
情報資産を特定できたらリスクアセスメントを行いましょう。
リスクアセスメントとは、
・リスク特定
・リスク分析
・リスク評価
のプロセス全体のことを指します。
どのようなリスクがあるのか洗い出し、どのような影響があるのかを分析し、どのくらい重要かを把握し、どう対策していくか決めていくことです。
リスクアセスメントについてはこちらの記事で詳しく説明しております。
【ステップ4】法令、国が定める指針その他の規範を特定する
法令や指針、規範も特定しましょう。
情報資産を守っていくときに、法令などに違反をしていると情報セキュリティ以前の問題になります。
法令違反というリスクは常について回ります。
情報資産を守るためにもまずは、該当する法令などはどんなものがあるのか確認し、特定しておきましょう。
【ステップ5】安全管理についての規程を策定する
情報資産を守るためには、会社のセキュリティルールを決めて、ルール通りに業務を行わないといけません。
そのためにも、安全管理について規程を策定する必要があります。
ISMS(ISO27001)において文書化でイメージするのは、ISMSマニュアルや適用宣言書といったものがメインであると思います。
こういった文書にて、情報資産を守るためにリスクアセスメントをして対策の把握や検討をしたのではないでしょうか。
それと同じように、情報資産を守る対策を、安全管理のためのルールや文書として、きちんと策定していくようにしましょう。
【ステップ6】ISMS(ISO27001)を周知するための教育を実施する
ルールや文書を作っていても内容を組織内に知られていなければ意味がありません。
ISMS(ISO27001)についての教育をする機会を設け、皆がルールや文書を把握した上で、業務や構築・運用にのぞめるようにしましょう。
意識せずともルールや文書の運用ができる状態が理想です。
【ステップ7】ISMS(ISO27001)の運用を開始する
ISMS(ISO27001)では、PDCAサイクルを回します。
その際にどうしても必要になってくるものが、内部監査やマネジメントレビューの実施です。
ISO27001を取得、維持していくためには必須の機能なので、「ISO27001(ISMS)取得のためだけに」やってしまうことがほとんどです。
しかし、そもそも内部監査というのは「ルールが守れているか」「ルールはこのままでよいか」ということを確認する機能です。
マネジメントレビューとは、仕事などの実施の状況などをトップマネジメント(社長など)に報告して、指示事項などをもらうことです。
そう考えると、ISMS(ISO27001)、情報セキュリティという視点でなくとも、組織内にすでにこういったチェック機能が存在しているケースが多いです。
ISMS(ISO27001)のためにやっているといった形だけにならないような構築ができると、
取得後も形骸化しにくくスムーズな運用ができやすいです。
ISMS(ISO27001)構築において必要な要求事項とは
ISMS(ISO27001)においては、
①10項で構成される要求事項
②「付属書A」という管理策
の2つがあります。
①の要求事項は以下のような構成になっており、必ず適用させなければいけない内容となっています。
0項 序文
1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善
②の付属書Aというのは、特定のリスクを目的とした対策を示したガイドラインのようなものです。全部で114項目ありますが、該当する内容のみ適用すればいいです。
要求事項についてはこちらのコラムでも詳しく説明しておりますので是非ご覧ください。
まとめ
ISMS(ISO27001)の構築でやるべきことは7ステップあります。
【ステップ1】ISMS(ISO27001)取得までの計画を立てる
【ステップ2】ISMS(ISO27001)運用のための組織作り
【ステップ3】リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)
【ステップ4】法令、国が定める指針その他の規範を特定する
【ステップ5】安全管理についての規程を策定する
【ステップ6】ISMS(ISO27001)を周知するための教育を実施する
【ステップ7】ISMS(ISO27001)の運用を開始する
この7ステップの対応をすることで、ISMS(ISO27001)の構築・取得・運用をスムーズに進めることができます。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。