ISMS取得の条件
ISMS(ISO27001)認証を取得するためには、情報マネジメントシステム認定センター(ISMS-AC)が定めた評価制度(ISMS適合性評価制度)を第三者である認定審査機関によって認められなければなりません。ここでは、そのために必要な3つの条件について解説していきます。
ISMS(ISO27001)認証取得までの3ステップ
① マニュアル、適用宣言書、安全管理規定の作成
ISOの取得に向けて、まずは自社の情報セキュリティシステムとISOの規格と整合性が取れていることが前提となります。そこでISOが定める規格その条件を満たすISMS運用・管理のシステムを構築することが求められます。そのうえで、自社や組織のマニュアル、適用宣言書、安全管理規程を作成します。
② 内部監査とマネジメントレビュー
内部監査では、①で作成した事項に適合した運用・管理が行われているか。①で定めた内容が、実際に自社にとって有効に働いているかをチェックします。
また、内部監査の結果や利害関係者からのフィードバック、それまでに取り組んできた情報セキュリティ管理・運営の成果や問題点を分析してまとめたマネジメントレビューも作成し、経営陣と共有します。
仕様やマニュアルなどを自社で整えるには、膨大な時間と知識がかかります。ISO取得のために新たな人手を確保できない場合や、専門知識をもった人からの協力が必要な場合には、ISO27001認証の取得サポートを専門とする業者へのアウトソーシングも検討しましょう。
③ 一次審査と二次審査
ISO27001認証では、一次審査と二次審査2回の審査を受けなければなりません。
一次審査は、ISMSに関するマニュアル類や仕様書、運用記録などについての書類審査です。情報セキュリティシステムが十分なものであるかどうかや、ISO27001の規格要求事項と適合性があるかどうかなどが審査されます。
二次審査は、実際にISMSが運営されている様子を見ての実地審査です。マニュアルがきちんと計画どおり有効に実行されているかということから、継続的改善を行っているかというところまで審査されます。審査の過程で不適合が指摘された場合には対処・改善し、その内容を再び審査したうえで審査機関から合格がでれば認証の取得となります。
ちなみに、二次審査は現地に派遣された審査員が行うため、日程調整や交通費や宿泊費の支払いが発生します。また審査にかかる費用も審査機関によってことなります。事前に問い合わせて複数の審査機関の見積もりを取り、比較して選定しましょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。