ISMS(ISO27001)取得の難しい点
ISMS(ISO27001)の取得には通常半年から1年間もの期間が必要といわれていて、なかには何年もかかってしまい、ついに取得を諦めたというケースもゼロではありません。いったいなぜ取得が難しいのでしょうか。取得に向けた流れの中で、ISMS(ISO27001)取得の難しい点について見ていきます。
ISO27001(ISMS)の認証取得の流れの中での難所とは
認証取得の流れを簡単に整理すると、次のような工程があります。
- ISO27001規格の要求事項をよく読んで理解します。
- ISO27001規格の要求事項との適合性があり、かつ自らの組織に合った方針を定めマニュアルや手順書などを作成します。
- 上記で作成したマニュアルや手順書に従ってシステムを構築し運用を開始します。
- 3カ月程度運用をしてみて、有用性を検討したり、不具合の調整・改善などをチェックする内部監査を実施します。
- 内部監査の結果や顧客や取引先からのフィードバックなどを含めたマネジメントレビューを実施して、経営会議などにかけ、その後の方針を決定します。
- 一次審査と二次審査を受け、通過すれば認証取得となります。
この流れのなかで難所となるのが2についてです。
まずISO27001規格の要求事項には、次の10項目があり、これらにのっとった情報セキュリティの構築を行わなくてはなりません。
ISO27001規格の要求事項
- 適用範囲(企業や組織全体に適応するのか、部署、拠点を絞って運用するのかの範囲を決める)
- 引用規格(手引書やマニュアルの引用元のとなる文書を記載する)
- 用語及び定義(マニュアルなどで用いる用語について定義する)
- 組織の状況(組織内部に加え外部の状況について明らかにして課題や目標を決める)
- リーダーシップ(責任者であるトップマネジメントが組織の方向性や目的を示し、運営体制を定める)
- 計画(ISMSの達成目標や、リスクと対処法などを設定する)
- 支援(情報セキュリティを実施するために必要な資源や人材を明確にし体制を整える)
- 運用(計画通りの運用と改善、不適合箇所の改善)
- パフォーマンス評価(監視・測定・分析及び評価を実施しマネジメントレビューを作成)
- 改善(マネジメントレビューや利害関係者からのフィードバックを元に改善をする)
これら10項目に準拠する情報セキュリティリスクアセスメントの策定が、まずはじめの難所です。そのためにはさまざまな手法がありますが、自社の扱う情報の種類や、規模、目的に応じて対処方法を定めなければなりません。
次に、こうした情報セキュリティの運営をふまえて、管理策と適用宣言書を策定することが求められます。自社ですでに実施・運営しているものがあればそれに基づき、企画内容に応じて適宜改良していけばいいのですが、実施・運営していない範囲のものであれば一から作り直して実行しなければなりません。
これまで多くの情報を管理・運営してきた組織など、すでに情報セキュリティに関するノウハウがある組織であればISO規格に合わせて応用がききますが、デジタル化の進む昨今にあって始めてこうした取り組みを始める企業にとってはハードルが高いと言えるでしょう。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。