ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISO27001(ISMS)認証取得の流れ

スタッフ写真
スタッフ写真

2020年12月23日

ISO27001(ISMS)認証取得の流れ

ISO27001(ISMS)取得の流れは下記6ステップです。

1. 情報資産洗い出し・リスクアセスメント
2. 情報セキュリティ規定、適用宣言書の作成
3. 内部監査・マネジメントレビュー
4. 一次審査
5. 二次審査
6. 認証

はじめに資産の洗い出しや対策方法の確認を実施します。
その後、リスクアセスメントと実施手順の作成をし、社内で運用や教育を行います。
社内で運用を実施後、内部監査とマネジメントレビューを行い、最後に審査機関による審査を受けます。

とはいっても、上記だけでは具体的に何をすればいいのか分からないですよね。
そこで、項目ごとに何をするのかまとめてみました!

※「ISO27001(ISMS)とは?」はこちら

ISMS新規認証取得・運用について詳しく知りたい方はコチラ

1. 情報資産洗い出し・リスクアセスメント

1) 情報資産洗い出し・対策方法の確認

社内にある情報資産を全て洗い出し、情報資産管理台帳に書き出しましょう。
ISMSの認証取得をするためには、資産が持つリスクやそのリスクに対する管理・対策方法について確認が必要です。

2) リスクアセスメント

リスクアセスメントとは、職場における危険性を事前に見つけ出し抽出して、
それを評価し、除去・低減するために行うことです。

情報資産に対して起こるトラブルを想定し、そのリスクを台帳にまとめていきます。
それぞれのリスクに対して評価し、優先度を設け、優先度に沿ってリスク低減を実施していきます。

2. 情報セキュリティ規定、適用宣言書の作成

ここまでの実施してきたものを踏まえて、ISMS運用に必要な規定や手順等の各種マニュアル文書を作成していきます。
作成する際に、認証審査での要求事項も踏まえていく必要があります。

また同時に、適切に情報セキュリティ管理・運用を行うために、記録類の様式等も作成が必要です。

ISMSの認証取得の際に、組織の状況により適用除外が認められている項目があるため、
適用除外を明確にするためにも、適用宣言書が必要になってきます。

★お問い合わせ

3. 内部監査・マネジメントレビュー

1) 内部監査

従業員もしくは依頼をした外部の専門家によって、決められたルールが運用されているか、従業員への知識が周知されているかを監査します。
実際の審査のように従業員に口頭で質問をしたり、デスク周りや入口など物理的なセキュリティ状況を確認します。

2) マネジメントレビュー

少なくとも年に1回、内部監査の結果や運用状況をもとに、ISMSが適切に運用されているか会社の代表者が判断します。
判断後はマネジメントレビューのアウトプットを実施し、文書化した情報として残しておく必要があります。

4. 一次審査

ISMS認証取得の審査は、審査機関による第一段階審査と第二段階審査の2段階審査となっています。
第一段階審査では1~2日かけて主に文書審査となり、マニュアルなどの文書がISMSの規格要求事項に適合しているかを審査されます。
ちなみに第一段階審査と第二段階審査では、約1ヶ月間隔を開けての実施となります。

5. 二次審査

第二段階審査は2~3日の日数がかかります。
どちらも1日の所要時間は約6~7時間、審査員1名での審査となります。

実際にISMSの運用ができているかを審査します。審査員と各部門の従業員との対話形式で審査が行われます。
不備があった場合、指摘を受けることになりますが、その後是正の対応を行えば問題ありません。

6. 認証

第二段階審査で不適合が無かった場合、約1ヶ月以内に認証登録証が発行されます。
第二段階審査後に不適合があった場合は、是正の対応を行い、その対応が評価、確認をされた後1か月以内に認証登録証の発行となります。

まとめ

いかがでしたでしょうか?ISMS取得の流れ1~6をご理解いただけましたか?
ISO27001(ISMS)認証取得にかかる時間については、自社で実施するとなると約1年かかる場合が多いようです。お急ぎの場合はコンサルタントに依頼すると約半年目安での取得が可能になります。

また、ISMS構築には相当な労力が必要となってくるので、担当者に大きな負担がかかります。
認証取得範囲や条件にもよるかとは思いますが、少しでもISMS担当者の負担を減らすためにも専門コンサルティング会社の利用を検討するのも良いかと思います。

ISMS新規認証取得・運用について詳しく知りたい方はコチラ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。