ISMS認証取得までの流れ

HACCPと従来の衛生管理の比較ポイント

ISMSという言葉をニュースなどで耳にしたことはあるでしょうか。
ISMSとは情報セキュリティを管理する仕組みのことで、正式名称は「Information Security Management System」です。
情報セキュリティの管理を適切に行っているという信頼を対外的に得るために、このISMSの取得を目指す中小企業が増えています。
ISMS取得のために、ある日突然担当者に任命されるなんてことも起きてしまうかもしれません。 ここでは、ISMS認証のメンバーに任命されてから、認証取得を受けるまでに必要な基本的な流れについて、詳しく解説していきます。

ISMSの構築フェーズ

ISMS認証を取得するための流れとして、まず組織としてどのような情報セキュリティを構築するのか検討する必要があります。

ISMS認証取得・適用範囲の決定

初めに決めなければならないのは、ISMS(ISO27001)の認証取得をする適用範囲を決めることです。
ISMSでは、全社での取得以外にも、特定の部署や支店などで限定的に取得することもできます。

たとえば、顧客からの要望や、入札条件などでISMS認証が必要な場合、対応する拠点や部署だけが認証されていればよい場合もあるのです。全社で導入する負担が大きい場合は、対応が必要な範囲のみで取得しましょう。

現状の情報資産の洗い出し・対策方法の確認

社内には、情報資産というものが非常に多く存在しています。個別の担当者レベルでしか把握できていないものもあるかもしれません。

現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に書き出しましょう。ISMS取得のためには、それら資産がもつリスクや、リスクに対する管理・対策方法について確認を行う必要があります。

リスクアセスメント(リスクの予測、見積もり、評価の過程)

続いては、リスクアセスメントについてご説明いたします。リスクアセスメントは、職場内において想定される危険をピックアップして、その評価、除去・低減を行うことです。情報資産それぞれに起こり得るリスクを、台帳に取りまとめましょう。

そして、それぞれのリスクに見積もり・点数をつけて評価し、優先度を設けます。優先度に沿ってリスク低減を実施していきましょう。また、リスクアセスメントは一度きりではなく、定期的な対策の追跡や、新たに生まれたリスクなどについて検討をしていく必要があります。

ISMS文書の作成

ここまで議論や評価を行ってきたものを踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や手順などの各種マニュアル文書を作成していきます。これは、認証審査での要求事項も踏まえて作成していく必要があるでしょう。

また、適切に情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成が必要です。そしてISMSを取得する際に、組織の状況に合わせて適用除外が認められている項目もあります。適用除外を明確にするための、「適用宣言書」が必要なので忘れないようにしましょう。

ISMSの運用フェーズ

ISMS文書まで作成できたら、実態に運用をしていきましょう。

ISMSの運用・社内教育

規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用をしてみましょう。
ただし、いきなり運用を始めても社員は理解することができません。
社内教育などを通して自社のISMSへの理解を深めさせたうえで、運用していく必要があります。
実務でマネジメントシステムを一巡させることができれば、概ね社員の理解は高まるでしょう。

内部監査

社内で構成した内部監査チーム、もしくは外部の専門家に依頼することで、内部監査を行います。
社内でISMSの規定やルールに沿った運用が行われているか、適用範囲内の社員が情報セキュリティの知識が周知しているかなどを判定するためです。
内部監査によって問題点が指摘された場合、該当部署は対策を行ったうえで報告しなければなりません。

マネジメントレビュー

社長など会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。
マネジメントレビューでは、単なる規格に沿った事実を述べるだけではいけません。リーダーシップにもとづいてトップ自らの責任による判断を下し、マネジメントレビューをアウトプットしましょう。

ISMSの審査フェーズ

一定期間の運用、内部監査、そしてマネジメントレビューを終えたら、いよいよISMSの審査に移ります。

第一段階審査

ISMS認証の審査は二段階です。第一段階審査では、文書審査がメインで、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」審査します。また、規格要求事項に則していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。

第二段階審査

第二段階審査では、認証審査員が取得範囲の部署の社員に対して、マネジメントシステムの実際の運用状況を確認します。運用に不備があると認証機関から是正の指摘を受けるので、それらを対応して審査終了です。
第一段階審査、第二段階審査を経て、ISMSの認証登録がされるまでの期間は、3ヵ月程度が目安となっています。

まとめ

ISMS認証取得の流れは、組織としてのISMSの構築、運用、そして認証機関における審査によって進んでいきます。
一般的な流れと解説しましたが、構築のためにはかなりの労力と時間が必要です。
企業によっては独力で行うのではなく、コンサルタントに入ってもらいISMS認証を目指す方が効率的かもしれません。 しかし、最終的に作業を行うのは、ISMS担当になった皆様です。
認証取得までの流れをしっかりと把握したうえで、入念に準備を進めていきましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事