ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)の構築でやること7ステップ

2022年6月16日

ISMS(ISO27001)の構築でやること7ステップ

ISMS(ISO27001)を構築する際にやるべきことを7ステップで紹介します。

このISMS(ISO27001)構築7ステップを実施することで、取得およびその後の運用をスムーズに進めることができます。

【ステップ1】ISMS(ISO27001)取得までの計画を立てる

まず始めに、

ISMS(ISO27001)の取得までの計画、いつ何をするかのスケジュールを最初に立てましょう。

 

本業が忙しく、ISMS構築や運用を後回しにしてしまい、放置していた…という状況をよくお伺いします。

そして審査が近づいたときに、「大変だ!何もやっていない!」と一気に進めようとして大変な思いをすることになります。

 

年間の運用計画、つまりスケジュールを先に立ててしまい、

いつ何をするのか、はじめに決めてしまうことで、

審査直前にタスクが山積み…という事態を防ぐことができます。

 

【ステップ2】ISMS(ISO27001)運用のための組織作り

次に、運用のための組織作りをしましょう。

可能であればISMS(ISO27001)プロジェクトのチームを作ると良いでしょう。

 

ISMS(ISO27001)の取得や運用は、それだけでコンサルタントという仕事になり得る、専門性が高いものです

実際のところ、担当者を一人おいて、

通常業務と兼務でまかせてしまうことが多いですが、

一人だけに負荷がかかってしまうので、複数人で対応させる方が望ましいです。

 

「社内の人手が足りない」「忙しくてISMSについて調べたり勉強する時間がない」「取得を急いでいる」という場合は、コンサル会社のサポートを利用することを検討してみるといいでしょう。

 

ISMS取得のためのチームができたら、「情報セキュリティ方針」を作りましょう。

作った情報セキュリティ方針は組織内に周知しなければなりません。

情報セキュリティ方針がどこで確認できて、何が書いてあるのかを全員が把握できる状態にしておくことが大切です。

 

【ステップ3】リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)

はじめに情報資産を洗い出し、リスクアセスメントを行います。

ISMS(ISO27001)を構築運用するとなると、資産目録(≒情報資産台帳)は必須です。

そもそも組織内にどんな情報資産があるかがわからないと、守るべきものが分からずセキュリティを考えることもできません。

自社にどんな情報資産があるか、洗い出してはっきりさせておかなければなりません。

ちなみに情報資産は個人情報やプログラムなどの情報自体だけではなく、情報を取り扱う機器なども含みます。

 

情報資産を特定できたらリスクアセスメントを行いましょう。

リスクアセスメントとは、

・リスク特定

・リスク分析

・リスク評価

のプロセス全体のことを指します。

 

どのようなリスクがあるのか洗い出し、どのような影響があるのかを分析し、どのくらい重要かを把握し、どう対策していくか決めていくことです。

 

リスクアセスメントについてはこちらの記事で詳しく説明しております。

ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選

 

【ステップ4】法令、国が定める指針その他の規範を特定する

法令や指針、規範も特定しましょう。

情報資産を守っていくときに、法令などに違反をしていると情報セキュリティ以前の問題になります。

 

法令違反というリスクは常について回ります。

情報資産を守るためにもまずは、該当する法令などはどんなものがあるのか確認し、特定しておきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

【ステップ5】安全管理についての規程を策定する

情報資産を守るためには、会社のセキュリティルールを決めて、ルール通りに業務を行わないといけません。

そのためにも、安全管理について規程を策定する必要があります。

 

ISMS(ISO27001)において文書化でイメージするのは、ISMSマニュアルや適用宣言書といったものがメインであると思います。

こういった文書にて、情報資産を守るためにリスクアセスメントをして対策の把握や検討をしたのではないでしょうか。

それと同じように、情報資産を守る対策を、安全管理のためのルールや文書として、きちんと策定していくようにしましょう。

 

【ステップ6】ISMS(ISO27001)を周知するための教育を実施する

ルールや文書を作っていても内容を組織内に知られていなければ意味がありません。

 

ISMS(ISO27001)についての教育をする機会を設け、皆がルールや文書を把握した上で、業務や構築・運用にのぞめるようにしましょう。

意識せずともルールや文書の運用ができる状態が理想です。

 

【ステップ7】ISMS(ISO27001)の運用を開始する

ISMS(ISO27001)では、PDCAサイクルを回します。

その際にどうしても必要になってくるものが、内部監査やマネジメントレビューの実施です。

ISO27001を取得、維持していくためには必須の機能なので、「ISO27001(ISMS)取得のためだけに」やってしまうことがほとんどです。

 

しかし、そもそも内部監査というのは「ルールが守れているか」「ルールはこのままでよいか」ということを確認する機能です。

マネジメントレビューとは、仕事などの実施の状況などをトップマネジメント(社長など)に報告して、指示事項などをもらうことです。

 

そう考えると、ISMS(ISO27001)、情報セキュリティという視点でなくとも、組織内にすでにこういったチェック機能が存在しているケースが多いです。

ISMS(ISO27001)のためにやっているといった形だけにならないような構築ができると、

取得後も形骸化しにくくスムーズな運用ができやすいです。

 

ISMS(ISO27001)構築において必要な要求事項とは

ISMS(ISO27001)においては、

①10項で構成される要求事項

②「付属書A」という管理策

の2つがあります。

 

①の要求事項は以下のような構成になっており、必ず適用させなければいけない内容となっています。

0項  序文

1項  適用範囲

2項  引用規格

3項  用語及び定義

4項  組織の状況

5項  リーダーシップ

6項  計画

7項  支援

8項  運用

9項  パフォーマンス評価

10項 改善

 

②の付属書Aというのは、特定のリスクを目的とした対策を示したガイドラインのようなものです。全部で114項目ありますが、該当する内容のみ適用すればいいです。

 

要求事項についてはこちらのコラムでも詳しく説明しておりますので是非ご覧ください。

ISMS(ISO27001)の取得・維持更新に必要な要求事項と4つの条件

 

まとめ

ISMS(ISO27001)の構築でやるべきことは7ステップあります。

【ステップ1】ISMS(ISO27001)取得までの計画を立てる

【ステップ2】ISMS(ISO27001)運用のための組織作り

【ステップ3】リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)

【ステップ4】法令、国が定める指針その他の規範を特定する

【ステップ5】安全管理についての規程を策定する

【ステップ6】ISMS(ISO27001)を周知するための教育を実施する

【ステップ7】ISMS(ISO27001)の運用を開始する

 

この7ステップの対応をすることで、ISMS(ISO27001)の構築・取得・運用をスムーズに進めることができます。

 

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。