ISMS認証取得までの流れ

ISOプロ担当者

HACCPと従来の衛生管理の比較ポイント

ISMSの担当者として任命され、上司から進めてくれと指示はされたものの、具体的にISMS認証をするためには、どのような手順を踏んでいく必要があるのか、わからないことだらけですよね。 非常に面倒で手間がかかるともいわれていますが、具体的にはどのような流れで認証を取得することができるのでしょうか? ここでは、ISMS認証のメンバーに任命されてから、ISMS認証を受けるまでに必要な基本的な流れについて、詳しくご紹介いたします。

ISMSの構築フェーズ

ISMS認証を取得するための流れとして、まず組織としてどのような情報セキュリティを構築するのか検討する必要があります。

ISMS認証取得・適用範囲の決定

初めに決めなければならないのが、ISMS(ISO27001)の認証取得をする、適用範囲を決めることです。ISMSでは、全社での取得以外にも、特定の部署や支店などで限定的に取得することができます。たとえば、顧客からの要望であったり、入札条件などでISMS認証が必要であったりする場合、対応する拠点や部署だけが認証されていればよい場合もあります。全社で導入する負担が大きい場合は、対応が必要な範囲を限定して取得してもよいでしょう。

現状の情報資産の洗い出し・対策方法の確認

社内には、情報資産というものが非常に多く存在しています。なかには、個別の担当者レベルでしか把握できていないものもあるかもしれません。現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に洗い出しましょう。そして、それら資産がもつリスクや、リスクに対する管理・対策方法について確認を行う必要があります。

リスクアセスメント(リスクの予測、見積もり、評価の過程)

続いては、リスクアセスメントです。リスクアセスメントというのは、職場内において想定される危険をピックアップして、その評価、除去・低減を行うことです。情報資産それぞれに起こり得るリスクを、台帳に取りまとめましょう。

そして、それぞれのリスクに見積もり・点数をつけて評価し、優先度を設けます。優先度に沿ってリスク低減を実施していきましょう。また、リスクアセスメントは一度きりではなく、定期的に行った対策の追跡や、新たに生み出されたリスクなどについて検討をしていく必要があります。

ISMS文書の作成

ここまで議論や評価を行ってきたものを踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や手順などの各種マニュアル文書を作成していきます。これは、審査での要求事項も踏まえて作成していく必要があるでしょう。

また、適切に情報セキュリティ管理・運用を行っていくために、記録類の様式なども同時に作成していきます。そして、ISMS認証を受ける際に、組織の状況に合わせて適用除外が認められている項目もあります。適用除外を明確にするための、「適用宣言書」が必要なので忘れないようにしましょう。

ISMSの運用フェーズ

ISMS文書まで作成できたら、実態に運用をしていきましょう。

ISMSの運用・社内教育

規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用していきます。ただし、いきなり運用を初めても、社員は理解することができないでしょう。社内教育などを通してISMSへの理解を深めさせたうえで、実際に運用していく必要があります。実務でマネジメントシステムを一巡させることができれば、概ね社員の理解は高まるでしょう。

内部監査

社内で構成した内部監査チーム、もしくは外部の専門家に依頼することで、内部監査を行います。内部監査では、社内で規定やルールに沿った運用が行われて、適用範囲内の社員に対して、情報セキュリティに関しての知識が周知されているかなどを判定します。 内部監査によって問題点が指摘された場合、該当部署は対策を行ったうえで報告しなければなりません。

マネジメントレビュー

社長などの会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。マネジメントレビューでは、単なる規格に沿った事実を述べるだけではなく、リーダーシップにもとづいてトップ自らの責任による判断を下し、マネジメントレビューをアウトプットしましょう。

ISMSの審査フェーズ

一定期間の運用、内部監査、そしてマネジメントレビューを終えたら、いよいよISMSの審査に移ります。

第一段階審査

ISMS認証の審査は二段階あります。第一段階審査では、文書審査がメインとなり、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」審査します。また、規格要求事項に即していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。

第二段階審査

第二段階審査では、実際の運用状況が確認されます。認証機関のスタッフが、各部署の社員に対して、マネジメントシステムの運用状況を確認していきます。運用に不備があると認証機関から是正の指摘を受けるので、それらを対応して審査終了となります。第一段階審査、第二段階審査を経て、ISMSの認証登録がされるまでの期間は、3ヵ月程度が目安となっています。

まとめ

ISMS認証取得の流れとしては、組織としてのISMSの構築、運用、そして認証機関における審査によって進んでいきます。

一般的な流れと解説しましたが、構築のためにはかなりの労力と時間がかかるでしょう。企業によっては独力で行うのではなく、コンサルタントに入ってもらいISMS認証を目指す方が良いかもしれません。

しかし、最終的に作業を行うのは、ISMS担当の皆様です。認証取得までの流れをしっかりと把握したうえで、入念に準備を進めていきましょう。

ISOプロでは月額3万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額3万円からご利用いただけます。

関連する記事・ページ