ISO27001(ISMS)認証取得の流れ
ここではISMS構築開始から審査受審までの流れをみてゆきます。
※詳細は各フェーズをクリックしてください。
1.方針・体制・適用範囲の決定
情報セキュリティマネジメントシステム(ISMS)についての方針や、マネジメントシステム構築にあたっての推進体制を取り決めます。ISO27001(ISMS)によるISMS認証では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。
2. 現状の把握
組織の状況を踏まえ、適用範囲の中で取り扱う、情報資産の洗い出しを行い、情報資産の機密性・完全性・可用性を維持することの不確実性に影響を与えるリスク源とその影響の結果をアセスメントし、洗い出されたリスクの対応方針を決定します。
3. 文書化
ISMSの運用に必要な規程・手順類と、運用に関連する記録類のフォーマット(様式)や、採用した管理策(セキュリティ対策)の手順を定めた手順書類を策定してゆきます。規格要求事項では、これらをまとめて「文書化した情報」と表現しています。 ISO27001(ISMS)で要求されている文書化した情報については、規格要求事項の7.5.1項に掲載されていますが、その中で特徴的なものが「適用宣言書」です。ISO27001(ISMS)の規格本文(4項から10項)についての適用除外は認められていませんが、附属書Aについては、組織の状況に即した採否が可能で、適用除外が認められています。そのため、管理策の採否とその理由を記述する特別な文書が必要とされています。それが「適用宣言書」です。
4. 運用
リスクアセスメントの結果策定した、「情報セキュリティ対応計画」と、リスク対応の検討後明らかになった「残留リスク」について、「リスク所有者」の承認を受ける必要があります。リスクアセスメントの結果とリスク対応の結果を考慮にいれた、「情報セキュリティ目的」を確立し、その達成のための計画を策定し実施します。
自社のISMSについて、関連する社員全員に理解してもらうための教育・訓練を実施し、力量と認識を持たせます。また、マネジメントシステムを一通り運用し、理解を深めてゆく定着活動を行います。ISMSの内部監査の実施も必要です。また、情報セキュリティプロセスや管理策の有効性の評価も要求されています。マネジメントシステムの運用状況の報告を受け、経営者が評価や改善指示をするマネジメントレビューを実施します。こうしたマネジメントシステムの運用については、文書化した情報の保持が要求されています。
5.受審
いよいよ初めての審査(初回審査)です。他のISOマネジメントシステムの認証制度と同様、2段階の審査を経ることになっています。第1段階は文書審査で、情報セキュリティマネジメントシステムについて規程した各種文書類が、ISO27001(ISMS)の規格要求事項に沿っているかどうか確認されます。第2段階の実地審査では、組織の各部門の現場における実施状況が確認されます。
審査後、指摘された不適合に対する是正処置を書面にて報告し、処置内容に問題なしと判断されれば審査登録(認証)に進みます。
審査スケジュールですが、文書審査と実地審査の間は最低1ヶ月程度空けることになっているはずです。実地審査後の是正処置が認められれば1ヶ月程度で認証取得(審査登録)となるでしょう。
コンサルティング部、システムデザイン部、
DXシステム支援部、システム運用部にて取得