ISO27001 の取得はどのように進めればいいのかわからない人は多いかと思います。
このページでは、ISO27001取得の流れについて説明してます。STEPごとに解説をしているので、どのように進めていけばいいのか確認しておきましょう。

img_iso9001_02
ISO27001の取得と聞くとハードルが高く感じてしまうかもしれません。最初はISO取得を決めてから取得するまでの全体像を把握しておきたいところです。
全体を把握することで、取得までの流れが理解できるので、何をどのように事柄を進めていくのか決めていくことができます。

ISO27001を取得するまでの流れ

STEP1適用範囲の決定
ISMSの適用範囲を限定することができます。適用範囲を決定するために、組織の状況や利害関係者のニーズなどを洗い出します。
STEP2組織体制の確立
情報セキュリティマネジメントシステム(ISMS)構築にあたって推進体制を確立します。
STEP3組織の課題、リスク及び機会、目標の設定
組織における情報セキュリティの取り組みに関する基本方針を決定します。
STEP4情報資産の洗い出し、リスクアセスメント
組織の情報を踏まえて適用範囲の中で取り扱う情報資産を洗い出し、情報セキュリティの三大要素を維持することを不確実にするリスクや、リスクの対応方針を決定します。
STEP5文書構築(同時進行)
各種マニュアル文書を作成していきます。この作業を文書化といいますが、文書化はISO27001の要求事項も踏まえて作成していく必要があります。
STEP6内部監査
ISMSの運用がルール通りにできているかということを確認します。内部監査によって問題が指摘された場合は改善策を講じます。
STEP7マネジメントレビュー
ISO27001取得までの活動の集大成として、トップマネジメントに対して活動の報告を行います。改善の必要性や追加で想定し得るリスクについて検討を行い、さらに改善策を実施していきます。
STEP8認証審査
第三者機関によって、ISMSの審査が行われます。第一段階では文書化したものが規格に適合しているか、第二段階では現場で情報セキュリティ上のリスクがないかの審査が行われます。
STEP9認証取得
審査の結果、規格に適合していると認められた場合は認証取得となります。審査の結果、不備があった場合は是正措置を実施し、実施したことを審査機関に報告することで認証取得となります。

取得のスケジュール例



ISO27001の認証を取得するまでの期間は、会社規模や適用範囲、自社で取得するかコンサルタントを入れるかで、大きく異なってきます。
適用範囲が広ければ、その構築や審査に時間を要します。経験の多いコンサルタントへ依頼することで、経験のない自社で構築するよりも早いという違いも出てきます。
取得したい時期や費用感などを踏まえて、最適な選択をする必要があります。

ISO27001の取得に関してのQ&A

スケジュールにあるキックオフ宣言とはなんですか?

キックオフ宣言とは、企業のトップマネジメントが社員に対してISOを取得することを宣言することです。宣言をすることで全社員の指揮を高め目的達成のために行動します。

ISO27001の取得に設備投資必要ですか?

ISO27001は情報セキュリティに対してリスクをどのように考えて、そのリスクをどのように低減するのかが求められます。そのため、ISO27001を取得するために新しく設備を追加することはほぼありません。

Pマークを取得していますが、ISO27001を取得する際は文章類の流用をしてもいいのでしょうか?

Pマーク取得時に作成した文章類は個人情報保護を目的としたものであり、ISO27001は個人情報を含む企業や組織が所有する情報資産を保護する目的があります。Pマーク取得時の文章類も使うことは可能ですが、ISO27001を主軸に考えたほうがいいです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。