2022年6月16日
ISMS(ISO27001)を構築する際にやるべきことを7ステップで紹介します。
このISMS(ISO27001)構築7ステップを実施することで、取得およびその後の運用をスムーズに進めることができます。
【ステップ1】ISMS(ISO27001)取得までの計画を立てる
まず始めに、
ISMS(ISO27001)の取得までの計画、いつ何をするかのスケジュールを最初に立てましょう。
本業が忙しく、ISMS構築や運用を後回しにしてしまい、放置していた…という状況をよくお伺いします。
そして審査が近づいたときに、「大変だ!何もやっていない!」と一気に進めようとして大変な思いをすることになります。
年間の運用計画、つまりスケジュールを先に立ててしまい、
いつ何をするのか、はじめに決めてしまうことで、
審査直前にタスクが山積み…という事態を防ぐことができます。
【ステップ2】ISMS(ISO27001)運用のための組織作り
次に、運用のための組織作りをしましょう。
可能であればISMS(ISO27001)プロジェクトのチームを作ると良いでしょう。
ISMS(ISO27001)の取得や運用は、それだけでコンサルタントという仕事になり得る、専門性が高いものです。
実際のところ、担当者を一人おいて、
通常業務と兼務でまかせてしまうことが多いですが、
一人だけに負荷がかかってしまうので、複数人で対応させる方が望ましいです。
「社内の人手が足りない」「忙しくてISMSについて調べたり勉強する時間がない」「取得を急いでいる」という場合は、コンサル会社のサポートを利用することを検討してみるといいでしょう。
ISMS取得のためのチームができたら、「情報セキュリティ方針」を作りましょう。
作った情報セキュリティ方針は組織内に周知しなければなりません。
情報セキュリティ方針がどこで確認できて、何が書いてあるのかを全員が把握できる状態にしておくことが大切です。
【ステップ3】リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)
はじめに情報資産を洗い出し、リスクアセスメントを行います。
ISMS(ISO27001)を構築運用するとなると、資産目録(≒情報資産台帳)は必須です。
そもそも組織内にどんな情報資産があるかがわからないと、守るべきものが分からずセキュリティを考えることもできません。
自社にどんな情報資産があるか、洗い出してはっきりさせておかなければなりません。
ちなみに情報資産は個人情報やプログラムなどの情報自体だけではなく、情報を取り扱う機器なども含みます。
情報資産を特定できたらリスクアセスメントを行いましょう。
リスクアセスメントとは、
・リスク特定
・リスク分析
・リスク評価
のプロセス全体のことを指します。
どのようなリスクがあるのか洗い出し、どのような影響があるのかを分析し、どのくらい重要かを把握し、どう対策していくか決めていくことです。
リスクアセスメントについてはこちらの記事で詳しく説明しております。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選
【ステップ4】法令、国が定める指針その他の規範を特定する
法令や指針、規範も特定しましょう。
情報資産を守っていくときに、法令などに違反をしていると情報セキュリティ以前の問題になります。
法令違反というリスクは常について回ります。
情報資産を守るためにもまずは、該当する法令などはどんなものがあるのか確認し、特定しておきましょう。
【ステップ5】安全管理についての規程を策定する
情報資産を守るためには、会社のセキュリティルールを決めて、ルール通りに業務を行わないといけません。
そのためにも、安全管理について規程を策定する必要があります。
ISMS(ISO27001)において文書化でイメージするのは、ISMSマニュアルや適用宣言書といったものがメインであると思います。
こういった文書にて、情報資産を守るためにリスクアセスメントをして対策の把握や検討をしたのではないでしょうか。
それと同じように、情報資産を守る対策を、安全管理のためのルールや文書として、きちんと策定していくようにしましょう。
【ステップ6】ISMS(ISO27001)を周知するための教育を実施する
ルールや文書を作っていても内容を組織内に知られていなければ意味がありません。
ISMS(ISO27001)についての教育をする機会を設け、皆がルールや文書を把握した上で、業務や構築・運用にのぞめるようにしましょう。
意識せずともルールや文書の運用ができる状態が理想です。
【ステップ7】ISMS(ISO27001)の運用を開始する
ISMS(ISO27001)では、PDCAサイクルを回します。
その際にどうしても必要になってくるものが、内部監査やマネジメントレビューの実施です。
ISO27001を取得、維持していくためには必須の機能なので、「ISO27001(ISMS)取得のためだけに」やってしまうことがほとんどです。
しかし、そもそも内部監査というのは「ルールが守れているか」「ルールはこのままでよいか」ということを確認する機能です。
マネジメントレビューとは、仕事などの実施の状況などをトップマネジメント(社長など)に報告して、指示事項などをもらうことです。
そう考えると、ISMS(ISO27001)、情報セキュリティという視点でなくとも、組織内にすでにこういったチェック機能が存在しているケースが多いです。
ISMS(ISO27001)のためにやっているといった形だけにならないような構築ができると、
取得後も形骸化しにくくスムーズな運用ができやすいです。
ISMS(ISO27001)構築において必要な要求事項とは
ISMS(ISO27001)においては、
①10項で構成される要求事項
②「付属書A」という管理策
の2つがあります。
①の要求事項は以下のような構成になっており、必ず適用させなければいけない内容となっています。
0項 序文
1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善
②の付属書Aというのは、特定のリスクを目的とした対策を示したガイドラインのようなものです。全部で114項目ありますが、該当する内容のみ適用すればいいです。
要求事項についてはこちらのコラムでも詳しく説明しておりますので是非ご覧ください。
ISMS(ISO27001)の取得・維持更新に必要な要求事項と4つの条件
まとめ
ISMS(ISO27001)の構築でやるべきことは7ステップあります。
【ステップ1】ISMS(ISO27001)取得までの計画を立てる
【ステップ2】ISMS(ISO27001)運用のための組織作り
【ステップ3】リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)
【ステップ4】法令、国が定める指針その他の規範を特定する
【ステップ5】安全管理についての規程を策定する
【ステップ6】ISMS(ISO27001)を周知するための教育を実施する
【ステップ7】ISMS(ISO27001)の運用を開始する
この7ステップの対応をすることで、ISMS(ISO27001)の構築・取得・運用をスムーズに進めることができます。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ