自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMSの基礎知識 » ISMS(ISO27001)取得の難しい点

ISMS(ISO27001)取得の難しい点

ISMS(ISO27001)の取得には通常半年から1年間もの期間が必要といわれていて、なかには何年もかかってしまい、ついに取得を諦めたというケースもゼロではありません。いったいなぜ取得が難しいのでしょうか。取得に向けた流れの中で、ISMS(ISO27001)取得の難しい点について見ていきます。

ISO27001(ISMS)の認証取得の流れの中での難所とは

認証取得の流れを簡単に整理すると、次のような工程があります。

  1. ISO27001規格の要求事項をよく読んで理解します。
  2. ISO27001規格の要求事項との適合性があり、かつ自らの組織に合った方針を定めマニュアルや手順書などを作成します。
  3. 上記で作成したマニュアルや手順書に従ってシステムを構築し運用を開始します。
  4. 3カ月程度運用をしてみて、有用性を検討したり、不具合の調整・改善などをチェックする内部監査を実施します。
  5. 内部監査の結果や顧客や取引先からのフィードバックなどを含めたマネジメントレビューを実施して、経営会議などにかけ、その後の方針を決定します。
  6. 一次審査と二次審査を受け、通過すれば認証取得となります。

この流れのなかで難所となるのが2についてです。

まずISO27001規格の要求事項には、次の10項目があり、これらにのっとった情報セキュリティの構築を行わなくてはなりません。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

ISO27001規格の要求事項

  1. 適用範囲(企業や組織全体に適応するのか、部署、拠点を絞って運用するのかの範囲を決める)
  2. 引用規格(手引書やマニュアルの引用元のとなる文書を記載する)
  3. 用語及び定義(マニュアルなどで用いる用語について定義する)
  4. 組織の状況(組織内部に加え外部の状況について明らかにして課題や目標を決める)
  5. リーダーシップ(責任者であるトップマネジメントが組織の方向性や目的を示し、運営体制を定める)
  6. 計画(ISMSの達成目標や、リスクと対処法などを設定する)
  7. 支援(情報セキュリティを実施するために必要な資源や人材を明確にし体制を整える)
  8. 運用(計画通りの運用と改善、不適合箇所の改善)
  9. パフォーマンス評価(監視・測定・分析及び評価を実施しマネジメントレビューを作成)
  10. 改善(マネジメントレビューや利害関係者からのフィードバックを元に改善をする)
ISMS(ISO27001)規格要求事項の
詳細はこちら

これら10項目に準拠する情報セキュリティリスクアセスメントの策定が、まずはじめの難所です。そのためにはさまざまな手法がありますが、自社の扱う情報の種類や、規模、目的に応じて対処方法を定めなければなりません。

次に、こうした情報セキュリティの運営をふまえて、管理策と適用宣言書を策定することが求められます。自社ですでに実施・運営しているものがあればそれに基づき、企画内容に応じて適宜改良していけばいいのですが、実施・運営していない範囲のものであれば一から作り直して実行しなければなりません。

これまで多くの情報を管理・運営してきた組織など、すでに情報セキュリティに関するノウハウがある組織であればISO規格に合わせて応用がききますが、デジタル化の進む昨今にあって始めてこうした取り組みを始める企業にとってはハードルが高いと言えるでしょう。

自社の工数を極限まで減らせるISMS取得の「フルサポート」とは?
よく読まれるISMSの基礎知識ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる