ISMSの認証取得の流れ
ISMS(Information Security Management System)=「情報セキュリティマネジメントシステム」は、情報を管理し安全性を高めるための仕組みのこと。認証を取得することで安全性が高い組織であることを外に示すことができます。ここでは、ISMS認証ために、必要なステップをご紹介してきます。
STEP1:適用範囲を決める
ISMS認証は、会社全体に導入することはもちろん、組織のなかで特定の部署や拠点だけに適用することも可能です。厳重な情報管理が必要な業務を見極めて、適用範囲を決めます。
STEP2:情報セキュリティポリシーの決定
情報セキュリティに対する自社の考え方や方針を示すのが、「情報セキュリティポリシー」です。どのような情報資産をどのようなリスクからどうやって守るのかといったことを明確にする「基本方針」、その実現に向けたルールとして「対策基準」、具体的な手順を示した「実施手順」。これら3つの内容を盛り込んだ「情報セキュリティポリシー」を策定します。
STEP3:体制の確立
ISMSを運営していくために、管理と内部監査を行う責任者やチームを決めます。
STEP4:ISMS文書の作成
ISMSを運営していくための具体的な手順やルールなどを文書にまとめます。現場で運用する人にとってわかりやすく、実現可能で運用しやすい内容になっていることが、ISMS審査に通過するためのポイントです。
STEP5:リスクアセスメントの実施
情報セキュリティに関するトラブルを予測し、リスクを洗い出し、それらへの対応策を予め決めておき、適用宣言書として文書化します。
STEP6:従業員教育
ISMSの考え方や策定した情報セキュリティポリシーの内容などを、自社のスタッフに周知し、理解してもらうための社員教育を行います。情報セキュリティの意識向上を、従業員に働きかけることも大切です。
STEP7:内部監査
ISMSの運用がスタートしたら、事前に決めたルール通りに運用されているか、適切に運用されているかなどをチェックし、改善点や課題があれば、それに対応します。
STEP8:マネジメントレビュー(経営陣レビュー)
経営陣に対して、ISMS運用の現状や、成果・課題などを示す「マネジメントレビュー」を作成します。ISMS認証取得には、運用体制がしっかりとできていることを示すことが求められます。
STEP9:審査
認証機関による審査は、文書審査と現地審査の順に2回行われます。2つの審査に通れば、認証取得となります。
STEP10:ISMS認証取得とその後の運用
認証取得後もPDCAのサイクルを繰り返し、常に適切で最善の運用に努めます。
まとめ
ここでは、ISMS認証取得のステップを紹介しました。
続いて他のページでは、ISMS認証の取得費用や維持費用もご紹介していますので、よろしければそちらもページもご覧いただき、ぜひお役立てください。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら
- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら
- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
| ISOサポート | ISOプロ | |
|---|---|---|
| 費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
| 期間 | 通常6か月 | 通常6~7か月 |
| 支援実績 | 1,450社 | 1,500件超 |
| 継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。