ISMS(ISO27001)認証お役立ちコラム
2022年3月25日
ISMS(ISO27001)取得のスケジュールは、大きく7つのステップで考えていくと良いです。物事を考える際、重要になるのは計画です。期日を決めたのち、計画を立てて運用していきましょう。本記事では、ISMS(ISO27001)取得のスケジュール、全体の流れをご紹介していきます。
1.ISMS(ISO27001)とは
ISMS(ISO27001)とは、「情報セキュリティマネジメントシステム」を指します。
簡単にまとめると、企業・組織として情報を管理し、守るための体制を整えていくことです。
企業・組織として管理すべき情報でも、重要性は異なってきます。また、ルールや基準がなければ行動することもできません。
基準を作るべきは、ただソフト面の体制だけではありません。ハード面や社員が取ってはいけない行動等もルール・基準として定めていく必要があります。
このように、ハード面・ソフト面の観点からリスク対策を行い、また情報を使いやすい体制に整備していく必要があります。
詳しくは以下を参照してください。
ISMS(ISO27001)とは?概要を分かりやすく説明
ISMS(ISO27001)取得の流れと期間
まず、ISMS(ISO27001)取得の流れについてです。
下記の通り、ISMS(ISO27001)を取得するスケジュールは7ステップあります。
キックオフから取得完了までの期間は、早くて6か月、長くて1年程度かかります。
(1)取得までの計画を立てる
↓
(2)情報セキュリティマネジメントシステムを構築する
↓
(3)ISO27001を運用する
↓
(4)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
↓
(5)審査を受ける(一次審査)
↓
(6)審査を受ける(二次審査)
↓
(7)認証取得完了
次に、この7ステップについて1つずつ説明していきます。
(1)取得までの計画を立てる
まず、取得の計画を立てる流れを確認しましょう。
①取得時の目的を再確認
企業・組織として、ISMS(ISO27001)を取得する際には、やはり社員の協力が不可欠です。組織として、ISMS(ISO27001)を取る目的を社内で共有する方がスムーズに準備が進められます。
きちんと取得の目的や、組織としてのメリットを認識する必要があります。
ISMS取得のメリット・デメリットは以下を御確認ください。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介
また、取得時に反対意見が出ないよう想定される意見も考えていくとより準備を進めやすくなるでしょう。
「社内の体制が面倒になりそう」「やることが増えるのでは」という不安はもちろんですが、業態によっては「取得するのはPマーク(プライバシーマーク)でなくてよいのか?」という考えも出てくる可能性があります。なぜISMSなのか、という観点も認識しておくとよいでしょう
ISMSとPマークの違いについては、以下を御確認ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?
②社内責任者の選定
ISMS(ISO27001)を取得する際の社内責任者を選定します。
本業とは違う仕事が発生するので責任の所在をはっきりさせるためにも選定する必要があります。
また人数が多い組織の場合は、伝達を行いやすいよう部門ごとの担当者等もこのタイミングで決められると、よりスムーズに進むでしょう。
③取得期日を決める
計画を立てる際、先にゴール地点を決めた方が期日が延びずに計画を作れます。
取得の目的から考え、いつまでに取得したいのかを決めていくと良いでしょう。
また、ISMS(ISO27001)の取得のゴールを具体的に決めることも重要です。
認証が取れたという状態なのか、認定証が手元に届いたことをゴールにするのかによって期日が変わります。具体的であればあるほど、計画にリアリティが増します。
是非具体的に考えてください。
④内製かアウトソースかの意思決定
取得に向けての準備を、内製(自社で取得する)か、アウトソース(コンサル会社、ツール等)を決めていきましょう。
ここは、複数の観点から検討する必要があります。
・人員のリソースの問題
・費用の問題
・知識、経験の問題
ISMSは、良くも悪くも最初に作ったルールや書式をベースに運用を行っていきます。最初に組織の実態に合ったルール作りを行うためにも、何がベストかを考えた方が良いです。
組織内のリソースだけでは足りなかったり、専門性が高くてやりきれないことは、アウトソースも視野に入れて検討出来るとよいです。
なお、コンサル選びのポイントについては以下をご確認ください。
ISMS(ISO27001)サポ―トのアウトソースを考えた時に見るべき7つのポイント
⑤予算決め
ISMS(ISO27001)を取得するにあたって、事前に予算を考える必要があります。
審査費用はもちろんのこと、社内で必要な設備の費用、コンサルティング費用も費用のイメージと予算を見ておくと良いでしょう。
費用については以下を御確認ください。
ISMS(ISO27001)の取得および維持・更新にかかる費用
尚、人件費だけは予算上では見えない部分になります。
社内のリソースやバランスによっても状況が変わって来るかと思いますが、事前に考えておくと業務上の影響も少なく進められると思います。
是非人件費も加味しながら検討してみてください。
コンサルティング費用ですが、弊社スリーエーコンサルティングの場合は月額4万円~でサポートしています。
審査費用・コンサルティング費用の具体的な金額が知りたい方は是非お見積り依頼してください。
⑥審査機関の選定
ISMSの審査機関は、一般財団法人や株式会社等、複数の組織が審査を行っています。審査機関によって費用や特徴等一部異なる部分があります。
ただし、ISO自体は国際規格ですから、どの審査機関で取得しても「ISMSを持っている」ということには変わりありません。
そのため、費用や実際に話を聞きながら、費用やサービス面を加味して審査機関を選べるとよいでしょう。
ただし、取引先や親会社から審査機関や認定機関を指定されるようなことがあります。取得の前に事前確認を行いましょう。
⑦スケジュールを立てる
事前に取得の時期を決めましたので、それに合わせて詳細な計画を立てます。 ISMSでは、審査時期は事前に予約を行う必要があります。
いつ手続きするのか、いつ審査を行うのか、等を逆算してより具体的にしましょう。
コンサルティングを受ける場合は、コンサル会社と相談しながら計画を立てます。お互いに計画や目標の時期を把握することができます。
ISMS(ISO27001)でもそうですが、物事を進めるのに「計画」は非常に重要になります。自社の状況に合わせて計画を立ててください。
(2)情報セキュリティマネジメントシステムを構築する
ISMS(ISO27001)を取得するまでに文書構築が必要になります。
例えば、基本となるマニュアル、適用宣言書、セキュリティの規定が該当します。
ISMS(ISO27001)の運用に関わるマニュアルや安全管理のための規程を作ることが多いので、準備するようにしましょう。
(3)ISO27001を運用する
ルールが決まり文書ができた後は実際にマネジメントシステムの運用に入ります。
実際の運用に関しては活動の結果を証拠として記録を残す必要があります。
例えば、情報資産を一覧にした台帳やリスクアセスメントの結果などが該当します。審査でも記録類の確認をされるので準備しましょう。
(4)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
一通りの運用が終われば、つぎはチェックを行い、次に向けてのアクションを決めていきます。
ISMS(ISO27001)では、内部監査とマネジメントレビューが該当します。
ISMS(ISO27001)を取得するには内部監査・マネジメントレビューの実施が必要になるので、計画的な実施と実施結果を記録に残すようにしましょう。
(5)審査を受ける(一次審査)
マネジメントレビューまで完了したら、ついに審査にのぞむことになります。
新規取得をする場合には2回の審査があり、1回目の審査は文書類の審査となります。
自社で作った文書類や記録類が、ISMS(ISO27001)の要求を満たしているかを確認されます。
文書類や記録類を確認してもらい、二次審査を受けられるかどうか のチェックをされます。
(6)審査を受ける(二次審査)
一次審査が終わると二次審査、いわゆる現地審査を迎えます。
自社で作ったルール通りに運用が行われているか、等の中身の妥当性を見る審査です。
実際の仕事内容や現場をチェックしてISMS(ISO27001)の認証ができる状態かを見られます。
ここでは一次審査で受けた指摘の結果対応も見られますので、二次審査までに対応を終えておくようにしましょう。
(7)認証取得完了
二次審査を終えて審査機関のOKが出るとついに認証になります。
認定証が手元に届きます。同時に認証のマークも届きますので、名刺やホームページに掲載していくようにすると良いかと思います。
認定証が届いたら終わりではありません。ISMS(ISO27001)は毎年審査がございます。早速ですが、次年度の審査までの段取りを始めましょう。
取得できて安心し、油断してたら何もしないうちに次の審査を迎えたといったことがないように進めるようにしましょう。
ISMS(ISO27001)の運用については、下記URLを参考にしてみてください。
ISMS(ISO27001)定期運用の1年間でやること
まとめ
ISMS(ISO27001)を取得する際、必要なステップは7つあります。その中でも、一番重要なのは計画です。
先に取得の時期を決めることでより具体的なスケジュールが決まります。
7つのステップが重点ポイントとなりますので、計画を立てて進めていきましょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です。(ISMSとISO27001は同義)
ISMS/ISO27001の認証ページへ