【ステップ１】ISMS（ISO27001）取得までの計画を立てる

まず始めに、

ISMS（ISO27001）の取得までの計画、いつ何をするかのスケジュールを最初に立てましょう。

本業が忙しく、ISMS構築や運用を後回しにしてしまい、放置していた…という状況をよくお伺いします。

そして審査が近づいたときに、「大変だ！何もやっていない！」と一気に進めようとして大変な思いをすることになります。

年間の運用計画、つまりスケジュールを先に立ててしまい、

いつ何をするのか、はじめに決めてしまうことで、

審査直前にタスクが山積み…という事態を防ぐことができます。

【ステップ２】ISMS（ISO27001）運用のための組織作り

次に、運用のための組織作りをしましょう。

可能であればISMS（ISO27001）プロジェクトのチームを作ると良いでしょう。

ISMS（ISO27001）の取得や運用は、それだけでコンサルタントという仕事になり得る、専門性が高いものです。

実際のところ、担当者を一人おいて、

通常業務と兼務でまかせてしまうことが多いですが、

一人だけに負荷がかかってしまうので、複数人で対応させる方が望ましいです。

「社内の人手が足りない」「忙しくてISMSについて調べたり勉強する時間がない」「取得を急いでいる」という場合は、コンサル会社のサポートを利用することを検討してみるといいでしょう。

ISMS取得のためのチームができたら、「情報セキュリティ方針」を作りましょう。

作った情報セキュリティ方針は組織内に周知しなければなりません。

情報セキュリティ方針がどこで確認できて、何が書いてあるのかを全員が把握できる状態にしておくことが大切です。

【ステップ３】リスクアセスメントを実施する（＝リスク特定・リスク分析・リスク評価）

ISMS（ISO27001）を構築運用するとなると、資産目録（≒情報資産台帳）は必須です。

そもそも組織内にどんな情報資産があるかがわからないと、守るべきものが分からずセキュリティを考えることもできません。

自社にどんな情報資産があるか、洗い出してはっきりさせておかなければなりません。

ちなみに情報資産は個人情報やプログラムなどの情報自体だけではなく、情報を取り扱う機器なども含みます。

情報資産を特定できたらリスクアセスメントを行いましょう。

リスクアセスメントとは、

・リスク特定

・リスク分析

・リスク評価

のプロセス全体のことを指します。

どのようなリスクがあるのか洗い出し、どのような影響があるのかを分析し、どのくらい重要かを把握し、どう対策していくか決めていくことです。

リスクアセスメントについてはこちらの記事で詳しく説明しております。

あわせて読みたい記事

ISMS(ISO27001)リスクアセスメントとは｜手順と実施方法３選

ISMS（ISO27001）のリスクアセスメントとは、リスク特定、リスク分析、リスク評価の一連のプロセスのことを指します。 ISMS（ISO27001）を構築する上でのリスクアセスメント法は、①ベース…

【ステップ４】法令、国が定める指針その他の規範を特定する

法令や指針、規範も特定しましょう。

情報資産を守っていくときに、法令などに違反をしていると情報セキュリティ以前の問題になります。

法令違反というリスクは常について回ります。

情報資産を守るためにもまずは、該当する法令などはどんなものがあるのか確認し、特定しておきましょう。

【ステップ５】安全管理についての規程を策定する

情報資産を守るためには、会社のセキュリティルールを決めて、ルール通りに業務を行わないといけません。

そのためにも、安全管理について規程を策定する必要があります。

ISMS（ISO27001）において文書化でイメージするのは、ISMSマニュアルや適用宣言書といったものがメインであると思います。

こういった文書にて、情報資産を守るためにリスクアセスメントをして対策の把握や検討をしたのではないでしょうか。

それと同じように、情報資産を守る対策を、安全管理のためのルールや文書として、きちんと策定していくようにしましょう。

【ステップ６】ISMS（ISO27001）を周知するための教育を実施する

ルールや文書を作っていても内容を組織内に知られていなければ意味がありません。

ISMS（ISO27001）についての教育をする機会を設け、皆がルールや文書を把握した上で、業務や構築・運用にのぞめるようにしましょう。

意識せずともルールや文書の運用ができる状態が理想です。

【ステップ７】ISMS（ISO27001）の運用を開始する

ISMS（ISO27001）では、PDCAサイクルを回します。

その際にどうしても必要になってくるものが、内部監査やマネジメントレビューの実施です。

ISO27001を取得、維持していくためには必須の機能なので、「ISO27001（ISMS）取得のためだけに」やってしまうことがほとんどです。

しかし、そもそも内部監査というのは「ルールが守れているか」「ルールはこのままでよいか」ということを確認する機能です。

マネジメントレビューとは、仕事などの実施の状況などをトップマネジメント（社長など）に報告して、指示事項などをもらうことです。

そう考えると、ISMS（ISO27001）、情報セキュリティという視点でなくとも、組織内にすでにこういったチェック機能が存在しているケースが多いです。

ISMS（ISO27001）のためにやっているといった形だけにならないような構築ができると、

取得後も形骸化しにくくスムーズな運用ができやすいです。

ISMS（ISO27001）構築において必要な要求事項とは

ISMS（ISO27001）においては、

①10項で構成される要求事項

②「付属書A」という管理策

の２つがあります。

①の要求事項は以下のような構成になっており、必ず適用させなければいけない内容となっています。

0項　 序文

1項　 適用範囲

2項　 引用規格

3項　 用語及び定義

4項　 組織の状況

5項　 リーダーシップ

6項　 計画

7項　 支援

8項　 運用

9項　 パフォーマンス評価

10項 改善

②の付属書Aというのは、特定のリスクを目的とした対策を示したガイドラインのようなものです。全部で114項目ありますが、該当する内容のみ適用すればいいです。

要求事項についてはこちらのコラムでも詳しく説明しておりますので是非ご覧ください。

あわせて読みたい記事

ISO27001の要求事項とは？ISO27001の取得・維持更新のためにすべき４つのこと

１．ISO27001（ISMS）とは？ [images_70] [/images_70] ISO27001とは、「企業が取得するために満たすべき要件」を示すものです。 一方、ISMSとは、情報セキュリ…

まとめ

ISMS（ISO27001）の構築でやるべきことは7ステップあります。

【ステップ１】ISMS（ISO27001）取得までの計画を立てる

【ステップ２】ISMS（ISO27001）運用のための組織作り

【ステップ３】リスクアセスメントを実施する（＝リスク特定・リスク分析・リスク評価）

【ステップ４】法令、国が定める指針その他の規範を特定する

【ステップ５】安全管理についての規程を策定する

【ステップ６】ISMS（ISO27001）を周知するための教育を実施する

【ステップ７】ISMS（ISO27001）の運用を開始する

この７ステップの対応をすることで、ISMS（ISO27001）の構築・取得・運用をスムーズに進めることができます。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️