認証取得に必要なこと

ISO/IEC27001を認証取得するためには大きく分けて以下の項目を実施する必要があります。

• ISO/IEC27001の規格要求事項の理解
• ISMS推進体制の確立
• ISMSの構築手法の理解と決定
• ISMSの構築・運用
• ISMS内部監査の実施、代表者の見直し
• 第三者認証機関からの認証審査を受審

構築及び運用

一般的に情報セキュリティマネジメントシステムを構築する際はCISO（Chief Information Security Officer：最高情報セキュリティ責任者）とISMS推進チームが中心となってプロジェクトを立ち上げて実施する会社が多いようです。
構築・導入を進めるにあたり、最初のステップとなるのはISO/IEC27001の規格要求事項や付属書Aの管理目的・管理策を理解することです。
理解の手段としては、メンバーによる勉強会、外部の専門研修への参加、コンサルタントの利用などがあります。
要求事項を正しく理解した後に、構築作業を始めましょう。

審査の受審

構築作業が進み、受審のめどがたった段階で、ISO/IEC27001の審査が可能な認証機関との契約や審査の計画などの打ち合わせをします。
なお、審査には以下のような種類があります。

認証を取得するための審査

• 第1段階審査（初回の認証審査）
• 第2段階審査（最終の認証審査）

認証を維持及び更新するための審査

• 維持審査（継続審査、定期審査とも呼ばれます）
• 更新審査

情報セキュリティマネジメントシステムがちゃんと構築され、機能しているかどうか、運用・見直しをしっかり実施しましょう。