ISO27001(ISMS)運用の流れは?円滑な運用のポイントについて解説
- ISO27001は取得したあとも、1年ごとの維持審査と3年ごとの更新審査がある
- 運用は要求事項に沿って、PDCAサイクルを実施する
- 円滑に運用するには、実業務に沿ったマニュアル構築と余計な文書類を極力減らすこと
ISO27001 (ISMS )をこれから取得する場合も、取得後も要求事項 に沿った運用が求められます。取得して終了ではなく、常にPDCAで改善し発展し続けていくもののため、定期審査があることも覚えておきましょう。
この記事では、ISO27001(ISMS)の定期審査の概要と運用の流れや円滑な運用のためのポイントを解説します。
ISO27001(ISMS)取得後の定期審査とは
ISO27001(ISMS)は取得後も定期的に審査を受ける必要があります。そのため、ISMSを取得して終わりではなく、ISMSの要求事項に沿った運用を行う必要があるのです。
定期審査には維持審査と更新審査の2つがありますが、ここではそれぞれについて詳しく解説していきます。
維持審査
ISMSの有効期間は3年です。しかし、その間にも1年に一度「維持審査」と呼ばれる審査を受ける必要があります。
維持審査の目的は、運用上の問題がないかどうかの確認となるため、初回審査のように多くの工数や手間がかかるわけではありません。一般的には、全体の50~60%程度の内容が確認されます。
認定 時に確認したISMSの仕組みが維持されているかなどの運用状況を確認し、指摘事項があった場合には、是正処置の実施が課せられます。指摘事項の改善が確認できなければ、認証 登録を維持できなくなってしまうため注意が必要です。
| 実施タイミング | 1年に1回 |
|---|---|
| 審査内容 | ISMS上、要となる活動の一部分 |
| 審査の目的 | 運用面での問題がないかを確認 |
| 審査の内容 | 全体の50~60%程度 |
更新審査
一方で「更新審査」とは、有効期限が切れる3年に一度実施される審査です。前回更新時からの運用状況を確認する審査となるため、「再認証審査」とも言われます。
審査内容は、過去3年間の運用をすべて対象とし審査されるため、維持審査よりも工数や審査期間が増えることが多くあります。
維持審査同様に、指摘事項が合った場合には是正処置が課せられるため、是正処置の実行がされていなければ、ISMS認証の更新を行うことはできません。
| 実施タイミング | 3年に1回 |
|---|---|
| 審査内容 | ISMS適用の全範囲 |
| 審査の目的 | 登録更新に問題がないかを確認 |
| 審査の内容 | 過去3年間の運用をすべて |
維持審査と更新審査の違いは、以下の記事でも詳しく解説していますので、こちらも合わせてご確認ください。
このように、ISMS認証は定期的な審査があるため、取得後の運用も重要となります。そのため、ISMS取得のための審査準備ではなく、自社の情報セキュリティマネジメントの問題点をチェックし、改善する機会として取り組むようにしましょう。
ISO27001(ISMS)運用の流れ
ISMSは取得前から運用が始まりますが、実際にどのように運用をしていくのでしょうか?ここでは運用時に行うことやその流れを解説します。
ISMSの要求事項を満たして運用を行う必要がありますが、具体的には次のような流れで行います。
以下のうち、4~7の項目がPlan(計画)、8が運用(Do)、9が評価(Check)、10が改善(Action)となっており、取得・運用の際に実施する項目です。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ(方針の策定、組織体制の整備等)
- 計画(リスク・機会、目的目標の管理)
- 支援(設備資源、力量、コミュニケーション、文書・記録管理)
- 運用(情報セキュリティアセスメントとリスク対応)
- パフォーマンス評価(内部監査、マネジメントレビュー等)
- 改善(是正処置対応、継続的改善)
それぞれの項目について、以下に解説します。ただし、分かりやすくするために大まかな解説となりますので、あくまで運用の流れを把握するために参考にしてください。
まず組織の状況では、自社の環境
や状況を理解し、内部及び外部の課題を決定します。
次に、トップマネジメントでは、
情報セキュリティ方針
を確立し、組織内に共有することが必要です。また、方針に則って役割分担を行い、責任や権限を割り振ります。
方針をもとに、計画を策定しましょう。内容を大きく分けると、ISMS全体の活動、
情報セキュリティ目的
の達成のための計画、
リスク対応
計画の3つです。
リスクアセスメント
の実施により、リスクの分析・評価も行います。
計画を実施するために、支援の項目では、ISMSに必要な資源を決定し、社内教育を行うなど、実務に近い部分を落とし込む必要があります。
その後、実際に運用を行います。意図しない結果などをレビューすることや定期的な情報リスクアセスメントによって、計画を実施し続けてください。
さらに、情報セキュリティパフォーマンス評価
を実施します。その中で、内部監査を年1回は行い、トップマネジメントへ反映させることが必要です。
これまでの運用を通して管理体制の改善を行いましょう。発生した不測の事態などの是正処置などを明確化するなどして、情報セキュリティの向上を図ります。
ここまでISMSの要求事項における運用の流れについて解説しました。ISMSの運用は、PDCAで実施することで、発展し続ける管理体制を築くことができるのです。
ISMSの要求事項についてより詳しく知りたい方は、以下の記事と合わせてご覧ください。
また、運用にあたっては事前に定めた情報セキュリティ方針と、その具体的な目標値である情報セキュリティ目的に則って行うことが大切です。そのため、情報セキュリティの発展的な向上につなげるためには、運用前にしっかりとこれらを理解しておくことが重要です。
情報セキュリティ方針・目的については、以下の記事で詳しく解説しています。
2つ目の例は、実務と乖離したマニュアルを定めてしまうことです。
これは、ISMSを取得することだけを目的とした場合に陥りやすい例といえるでしょう。
実務と乖離したマニュアルになってしまう理由には、要求事項を満たすためだけに、今まで実務で行っていなかった書類を作成したり、これまでにないルールを落とし込んだりすることが挙げられます。
その結果、従業員は業務量が増えたり、何のための書類なのか分からなかったりすることでモチベーションが下がってしまうのです。
このような運用を行ってしまうと、「必要らしいからやっている」形骸化した状態につながっていきます。
こうした失敗を防ぐために、運用を円滑にするポイントを理解したうえで取り組みましょう。
運用を円滑にするポイント
運用を円滑に進めるために大切なポイントは、以下の2つです。
- 企業の実業務に沿わせる形でマニュアルの構築を行うこと
- 余計な文書類を極力減らすこと
ISMSを取得・維持する際には、審査に受かることが第一の目的になりますが、本来の目的を忘れてはいけません。
ISMSの本質である情報セキュリティマネジメントの継続的な運用をスムーズに進めるためには、ISOの審査のためだけの文書類を減らし、日々の業務に活用できるようなマニュアル構築が重要となります。
そのために、コンサル会社へ依頼することもひとつの手といえるでしょう。コンサル会社に依頼をすることで自社の負担を減らし、通常業務と合わせて円滑なISMS運用が期待できます。
コンサル会社に依頼する場合でも自社で実施する場合でも、運用をスムーズに行うためには、自社の状況に沿ったISO27001(ISMS)の構築を目指すことが大切です。
ISMS取得をコンサル会社に依頼する際の詳細や、自社取得との違いに関してはこちらの記事で詳しく解説しているので、ぜひ合わせてご確認ください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい