ISMSの構築ステップ

ISMSを構築していくための構築ステップは大きく6つに分けることができます。

①ISMSの体制確立

ISMSの確立、推進、維持、運用結果の報告に必要な責任者の任命・チームの設置（ISMS管理責任者・ISMS推進チーム）や内部のチェックなどに必要な責任者の任命・チームの設置（ISMS内部監査責任者・ISMS内部監査チーム）をすることを指します。

②適用範囲の定義

適用範囲とは情報資産を管理する対象（範囲）を定めたものです。
適切なインプットにより、適用範囲とその境界線を明確にします。

③情報セキュリティ方針の確立

会社の情報セキュリティに関する基本的な取り組みや原則を定めた基本方針を指します。

④情報セキュリティアセスメントの実施

会社の特性に応じたISMSを構築するためのリスク（危険や心配）の特定、分析、評価、リスクに対する対策の決定、管理策の選択、適用宣言書の作成を指します。

⑤ISMS文書の作成

ISMSを管理していくための手順や管理策を文書化することです。
文書作成の対象を決めて、会社の業務の特性にあった内容と現場担当者がわかりやすい内容で作成していくことが重要です。

⑥ISMSの導入教育

⑤で作成したISMS文書を実際の業務で活かすための教育とISMSの運用を効果的にするための認識向上トレーニングの実施を指します。

このようにリスクアセスメントを通じて、会社の特性に合わせた仕組みをわかりやすく構築することが必要です。