ISMS取得の条件
ISMS(ISO27001)認証を取得するためには、情報マネジメントシステム認定センター(ISMS-AC)が定めた評価制度(ISMS適合性評価制度)を第三者である認定審査機関によって認められなければなりません。ここでは、そのために必要な3つの条件について解説していきます。
ISMS(ISO27001)認証取得までの3ステップ
① マニュアル、適用宣言書、安全管理規定の作成
ISOの取得に向けて、まずは自社の情報セキュリティシステムとISOの規格と整合性が取れていることが前提となります。そこでISOが定める規格その条件を満たすISMS運用・管理のシステムを構築することが求められます。そのうえで、自社や組織のマニュアル、適用宣言書、安全管理規程を作成します。
② 内部監査とマネジメントレビュー
内部監査では、①で作成した事項に適合した運用・管理が行われているか。①で定めた内容が、実際に自社にとって有効に働いているかをチェックします。
また、内部監査の結果や利害関係者からのフィードバック、それまでに取り組んできた情報セキュリティ管理・運営の成果や問題点を分析してまとめたマネジメントレビューも作成し、経営陣と共有します。
仕様やマニュアルなどを自社で整えるには、膨大な時間と知識がかかります。ISO取得のために新たな人手を確保できない場合や、専門知識をもった人からの協力が必要な場合には、ISO27001認証の取得サポートを専門とする業者へのアウトソーシングも検討しましょう。
③ 一次審査と二次審査
ISO27001認証では、一次審査と二次審査2回の審査を受けなければなりません。
一次審査は、ISMSに関するマニュアル類や仕様書、運用記録などについての書類審査です。情報セキュリティシステムが十分なものであるかどうかや、ISO27001の規格要求事項と適合性があるかどうかなどが審査されます。
二次審査は、実際にISMSが運営されている様子を見ての実地審査です。マニュアルがきちんと計画どおり有効に実行されているかということから、継続的改善を行っているかというところまで審査されます。審査の過程で不適合が指摘された場合には対処・改善し、その内容を再び審査したうえで審査機関から合格がでれば認証の取得となります。
ちなみに、二次審査は現地に派遣された審査員が行うため、日程調整や交通費や宿泊費の支払いが発生します。また審査にかかる費用も審査機関によってことなります。事前に問い合わせて複数の審査機関の見積もりを取り、比較して選定しましょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。