ISMS（ISO27001）を取得するためには、ISMSの仕組みを構築した後、1次審査、2次審査を受けて、審査機関から段階別に各項目が課せられます。
ISMS（ISO27001）取得の条件について詳しくご案内していきます。

１．ISMS（ISO27001）認証とは

ISMS（ISO27001）認証とは、情報マネジメントシステム認定センター（ISMS-AC）が定めた評価制度（ISMS適合性評価制度）を第三者（審査機関）に認められることで取得することが出来る認証のことです。

ISMS（ISO27001）認証についてもっと詳しく知りたい方はこちらの記事で詳しく説明しております。
ISMS（ISO27001）認証について徹底解説

２．ISMS（ISO27001）認証取得のメリット・デメリット

ISMS（ISO27001）認証を取得するメリット・デメリットを下記に３つずつまとめてみました。

■メリット
① 組織のシステムが確立しやすくなる
② 責任と権限が明確になる
③ 他社からセキュリティ体制に対する信頼を得やすくなる

■デメリット
① 手間が増える
② 手順が増える
③ 審査費用が発生する

ISMS（ISO27001）認証を取得するメリット・デメリットについてもっと詳しく知りたい方はこちらの記事で詳しく説明しております。
ISMS（ISO27001）の必要性は？取得のメリット・デメリットを紹介

３．取得までの条件

ISMS（ISO27001）取得の条件を３つにまとめました。

① マニュアル、適用宣言書、安全管理規定の作成

ISOを取得するためには、まず初めにISOの規格が要求していることを理解する必要があります。
その上でマニュアル、適用宣言書、安全管理規定を作成し、規格条件を満たしたマネジメントシステムを構築する必要があります。

② 内部監査/MR

内部監査では、適合性と有効性の確認を行う必要があります。
適合性とは、要求事項に適合した業務が行われているかどうか確認する事です。
有効性とは、「定めたルールや、ルール通りに行っている活動が組織の役にたっているか」を確認する事を指します。
MR(マネジメントレビュー)、とは、企業が行なってきたマネジメント体制を振り返り、 体制の成果や懸念・問題点を考察する経営管理活動を指します。

③ 一次審査/二次審査

一段階審査では、マニュアルなどの文書や記録を中心に、適用業務及び適用拠点といった適用範囲の妥当性から、ISO27001（ISMS）の規格要求事項を組織のマネジメントシステムが満たしているかどうかまでを審査します。

そして二段階審査では、マニュアルだけでなく、実際の業務を見ながら計画から改善までのすべてが審査されます。
こうした審査を経て判明した不適合に対して是正処置を行い、是正が確認された上で審査会の認証が下りれば、ようやくISO27001（ISMS）認証の取得となります。

審査についてよく質問いただくのは 「審査員が直接オフィスや現場に来られて審査するのか、遠隔（リモート）での審査になるのか？」です。

現状、現地訪問での審査が必須となっている審査機関と、遠隔で問題ない審査機関に分かれております。
審査機関を選定する際は事前に問い合わせてご確認いただくのがよいでしょう。

4.ISMS（ISO27001）取得の難しい点

ISMS（ISO27001）を取得するには「規格要求」と「管理策」を理解する必要があります。

規格要求は、情報セキュリティのマネジメントシステムを運用していく上で必要な要求事項が記載されており、規格要求を理解してPDCAサイクルを回していく必要があります。
こちらを理解せずにマニュアルを作成すると、ただただ無駄なルールや文書が増え、PDCAサイクルを回せないような状況になってしまいます。

管理策は、情報セキュリティに関する114項目の詳細な運用ルールを定める必要があります。
また、114項目の運用ルールは適用宣言書で適用の有無を文書に残していきます。

この項目を初めて目にされるご担当者でやりがちな失敗としては、新しいルールを作りすぎる、あるいはルールを厳しくしすぎることです。
もちろんセキュリティ体制を整えることは大事ですが、日常業務が回らないほどセキュリティ体制を厳しくしては本末転倒です。
ただ、ISMS（ISO27001）に関する経験や知識がない状態で規格要求の理解や管理策の策定は難しいでしょう。
お悩みのご担当者さまは、まずは無料でのご相談も可能ですのでお気軽にお問い合わせください。