2020年12月23日
ISO27001(ISMS)取得の流れは下記6ステップです。
1. 情報資産洗い出し・リスクアセスメント
2. 情報セキュリティ規定、適用宣言書の作成
3. 内部監査・マネジメントレビュー
4. 一次審査
5. 二次審査
6. 認証
はじめに資産の洗い出しや対策方法の確認を実施します。
その後、リスクアセスメントと実施手順の作成をし、社内で運用や教育を行います。
社内で運用を実施後、内部監査とマネジメントレビューを行い、最後に審査機関による審査を受けます。
とはいっても、上記だけでは具体的に何をすればいいのか分からないですよね。
そこで、項目ごとに何をするのかまとめてみました!
※「ISO27001(ISMS)とは?」はこちら
ISMS新規認証取得・運用について詳しく知りたい方はコチラ
1. 情報資産洗い出し・リスクアセスメント
1) 情報資産洗い出し・対策方法の確認
社内にある情報資産を全て洗い出し、情報資産管理台帳に書き出しましょう。
ISMSの認証取得をするためには、資産が持つリスクやそのリスクに対する管理・対策方法について確認が必要です。
2) リスクアセスメント
リスクアセスメントとは、職場における危険性を事前に見つけ出し抽出して、
それを評価し、除去・低減するために行うことです。
情報資産に対して起こるトラブルを想定し、そのリスクを台帳にまとめていきます。
それぞれのリスクに対して評価し、優先度を設け、優先度に沿ってリスク低減を実施していきます。
2. 情報セキュリティ規定、適用宣言書の作成
ここまでの実施してきたものを踏まえて、ISMS運用に必要な規定や手順等の各種マニュアル文書を作成していきます。
作成する際に、認証審査での要求事項も踏まえていく必要があります。
また同時に、適切に情報セキュリティ管理・運用を行うために、記録類の様式等も作成が必要です。
ISMSの認証取得の際に、組織の状況により適用除外が認められている項目があるため、
適用除外を明確にするためにも、適用宣言書が必要になってきます。
★お問い合わせ
3. 内部監査・マネジメントレビュー
1) 内部監査
従業員もしくは依頼をした外部の専門家によって、決められたルールが運用されているか、従業員への知識が周知されているかを監査します。
実際の審査のように従業員に口頭で質問をしたり、デスク周りや入口など物理的なセキュリティ状況を確認します。
2) マネジメントレビュー
少なくとも年に1回、内部監査の結果や運用状況をもとに、ISMSが適切に運用されているか会社の代表者が判断します。
判断後はマネジメントレビューのアウトプットを実施し、文書化した情報として残しておく必要があります。
4. 一次審査
ISMS認証取得の審査は、審査機関による第一段階審査と第二段階審査の2段階審査となっています。
第一段階審査では1~2日かけて主に文書審査となり、マニュアルなどの文書がISMSの規格要求事項に適合しているかを審査されます。
ちなみに第一段階審査と第二段階審査では、約1ヶ月間隔を開けての実施となります。
5. 二次審査
第二段階審査は2~3日の日数がかかります。
どちらも1日の所要時間は約6~7時間、審査員1名での審査となります。
実際にISMSの運用ができているかを審査します。審査員と各部門の従業員との対話形式で審査が行われます。
不備があった場合、指摘を受けることになりますが、その後是正の対応を行えば問題ありません。
6. 認証
第二段階審査で不適合が無かった場合、約1ヶ月以内に認証登録証が発行されます。
第二段階審査後に不適合があった場合は、是正の対応を行い、その対応が評価、確認をされた後1か月以内に認証登録証の発行となります。
まとめ
いかがでしたでしょうか?ISMS取得の流れ1~6をご理解いただけましたか?
ISO27001(ISMS)認証取得にかかる時間については、自社で実施するとなると約1年かかる場合が多いようです。お急ぎの場合はコンサルタントに依頼すると約半年目安での取得が可能になります。
また、ISMS構築には相当な労力が必要となってくるので、担当者に大きな負担がかかります。
認証取得範囲や条件にもよるかとは思いますが、少しでもISMS担当者の負担を減らすためにも専門コンサルティング会社の利用を検討するのも良いかと思います。
ISMS新規認証取得・運用について詳しく知りたい方はコチラ
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ