ISMS認証取得コンサルティングの流れ(シンプルコースの場合)
LRMのISMS認証取得コンサルティングには複数のコースがありますが、最も一般的なシンプルコースの場合、下記のような流れで認証取得が可能です。
| お取り組み期間 | 6~7か月 |
|---|---|
| 打ち合わせ回数 | 8回 ※2時間ほど/回 |
※上記はあくまで平均的な数字です。実際には、企業規模やお取り組み方法、社会情勢により変動します。
※シンプルコース以外のコース(カスタムコース等)については、別途お問い合わせください。
事前準備
複数のツールを活用してお取り組みを進めるため、ご希望の利用ツールを事前にお伺いし、手配します。
- ファイル共有:Box、Google Drive
- コミュニケーション:Chatwork、Slack、Zoom、Teams など
- 商談時の内容は、担当コンサルタントにしっかりと共有します。
※他コンサルティング会社では「商談時と話が違う」というケースもあります。 - お客様の業界や業務について、可能な限り事前に理解してからコンサルティングに臨みます。お客様の状況に近しい事例がある場合は、他コンサルタントとの情報共有や勉強会を実施します。
初回お打合せ
認証取得の目的・経緯の確認
認証取得の目的・経緯をお客様とコンサルタントで改めて共有し、お取り組みの指針を確認します。
「入札の要件である」や「事業拡大に伴い、社内体制を整備したい」など、お客様によって認証取得に至った経緯は様々です。
ISMSの概要説明
ISMSの概念や規格内容を、基礎知識から分かりやすくご説明いたします。ISMSについて既によくご存知のお客様の場合は、この工程を飛ばすこともあります。
認証取得に向けたスケジュールの確認
「年間実施項目管理表(認証取得・運用のためのToDoを管理するガントチャート)」をもとに、いつ頃までにどのようなToDoをこなしていくのかを確認します。
「この日までに認証を取得したい」「この期間は他の業務が忙しくなるので、少し間を空けたい」などのご要望があれば、コンサルタントにご相談ください。
適用範囲の決定
ISMS認証は法人単位だけではなく、部署単位や事業単位など任意の範囲で取得可能です。
まずは、ISMSのルールが適用される範囲を決定する必要があります。
推進体制の確立
ISMSを運用していく上で必要となる各役割を誰が担うのかを決定します。
一般的に、トップマネジメント、情報セキュリティ管理者、情報セキュリティ担当者、内部監査員などを任命しますが、役割名や権限については任意に設定可能です。
審査機関の選定
ISMS認証取得のための審査を依頼する審査機関を選定します。
審査機関ごとに費用や審査での指摘内容の傾向が異なるため、お客様の状況に適した審査機関をご検討ください。
- もし審査機関の選定にお困りであれば、おすすめの審査機関をご紹介します。また、当社よりおすすめの審査機関へ概算見積もりを依頼することも可能です。
情報資産の洗い出し
情報資産を洗い出して、「情報資産管理台帳」に一覧化します。
記載方法や作成ポイントをご説明しますので、実際に情報資産を取り扱っているお客様に作成いただきます。作成に関してお困りの際は、都度コンサルタントがフォローします。
リスク分析
情報セキュリティ上のリスクを洗い出し、必要に応じて対応策(リスクを低減するための手段)を検討します。
- 業務フローをベースにリスク分析を実施します。
各部署30分ほど業務の流れをヒアリングし、発生しうるリスクを洗い出し、対応策を検討します。
リスク分析の流れ
業務フローに沿った
リスクの洗い出し
リスクごとに
現状の対応策を洗い出し
リスクと対応策の
評価
業務フローに沿ったリスクの洗い出し
情報が「漏れる・正しくない・使えない」ことに繋がることや、契約や法令等への違反など、業務上起こったら困ることを洗い出します。
例)営業部の見積もり送付フローに関するリスク
| 見積もりを作成する |
|
|---|---|
| メールを作成する |
|
| メールに見積もりを添付する |
|
リスクごとに現状の対応策を洗い出し
リスクごとに、現在実施している対応策を洗い出します。
例)営業部の見積もり送付フローに関するリスクの対応策
| 見積もりの金額に齟齬がある |
|
|---|---|
| 宛先を間違える |
|
リスクと対応策の評価
下記観点から、それぞれのリスクと対応策を数値化して評価します。
「事故が発生した時の影響度」×「対応策を実施していても事故が発生する確率」
自社が受容できるリスクの大きさを設定し、その基準値を超えたものに対しては、追加の対応策をとるか、リスクを受容するかを判断します。
最後に、リスク・対応策・評価の3つを「リスク管理表」に一覧化し、各リスクに対する責任者に確認してもらい、承認を得る必要があります。
文書作成
ISMS認証取得に必要な規程類を作成し、運用していきます。
当社では、3つのマニュアルを作成します。
- 各文書について、規格内容を具体的なルールに簡潔に落とし込んだひな形を用意しています。
ひな形をもとに、お客様の実態やご要望に沿うように検討し修正します。
セキュリティハンドブック
ISMS規格に記載されている管理策(ISMS規格に準拠するためのリスクに対する具体的な対応策)を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めます。
「セキュリティハンドブック」には、ISMSが適用される全従業員向けのルールを策定します。
ルールの例
- 機密情報および社外秘情報は、適切なアクセス権を設定した共有フォルダで保管する。
- パスワード付きのスクリーンセーバーが10分以内に起動するよう設定する。
- パスワードの文字列は、8ケタ以上とする。
情報セキュリティマニュアル
ISMS規格に記載されている管理策を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めるものです。
「情報セキュリティマニュアル」には、人事やシステム開発・運用など、特定の業務についてそれぞれの担当者向けのルールを策定します。
ルールの例
| 委託先の管理に関して |
|
|---|---|
| 人事に関して |
|
| 開発に関して |
|
MSマニュアル
主にISMS運用の担当者である事務局向けの文書です。
ISMSのPDCAサイクルを回すために実施する取り組みについて、規格上やらなければならないことをルール化してマニュアルに落とし込んでいきます。
従業員教育や関連法令の管理などのルールを作成し、作成したルール通りに対応していく必要があります。
委託先管理
クラウドサービスの提供会社なども含め、自社の委託先を洗い出し、委託先が自社の求めるセキュリティ水準を満たしているかを検討します。
一般的には委託先へアンケートを実施し、回答結果をもとに判断します。アンケート回答を得るのが難しい企業は、情報セキュリティ認証の有無などをもとに判断可能です。
- 主にセキュリティ教育クラウド「セキュリオ」サプライチェーンセキュリティ機能を利用し、委託先へアンケートを実施します。豊富なテンプレートがあり、作成・送付・回答結果まで一元管理ができます。
従業員教育
従業員に対して、情報セキュリティに関する知識を学んでもらう教育を実施します。情報セキュリティ担当者や内部監査員には、役割に応じた教育の実施が必要です。
- 主にセキュリティ教育クラウド「セキュリオ」eラーニング機能を利用し、eラーニング形式で実施します。
全従業員向けの「情報セキュリティ基本研修」や「内部監査員向け基本研修」など、様々な教材があり、教材配信・テスト実施・受講結果まで一元管理ができます。
BCP試験
災害やシステム障害など、事業継続が困難な状況下でも、情報セキュリティがきちんと担保されるかを確認するBCP(事業継続計画)試験を計画・実施し、実施結果を記録として残します。
- セキュリティ教育クラウド「セキュリオ」安否確認機能を利用し、地震や台風などの災害が発生した際を想定した従業員の安否状況を確認する試験を実施することも可能です。
内部監査
事務局内部監査
ISMSに関して作成した各種文書の記載が規格に沿っているかを確認します(「規格のこの部分について、御社のマニュアルではどこに定めていますか」など)。
また、「情報資産管理台帳」や「リスク管理表」など、MSマニュアル等で作成をルール化した各種記録類がきちんと作成されているか確認します。
- 初年度は当社コンサルタントが内部監査を実施します。基本的に第一段階審査で確認されることと同様の質問をしますので、審査の予行練習にも繋がります。
現場内部監査
ISMS適用範囲内すべての部署を対象に内部監査を行います。
当社で実施する場合は、1部署30分を目安に、各部署の現場の方々がISMSに関して策定したルールを守れているか、策定したルールに不都合がないかなどを確認していきます。
マネジメントレビュー
事務局の方からトップマネジメント(社長や経営陣などトップマネジメントと定めた方)へ、ISMS運用に関する報告をおこない、トップマネジメントから次年度の運用についての指示を受けます。
基本的にはコンサルタントは立ち会わず、事務局とトップマネジメントのみで実施します。
また、マネジメントレビューの結果は記録し、それに対してトップマネジメントから承認を受ける必要があります。
審査
第一段階審査
ISMS認証を取得するために、第三者機関から審査を受けます。
コンサルタントは立ち会わず、お客様と審査機関でご対応いただきます。
審査は2回に分かれており、第一段階審査では、事務局のご担当者に対して「規格に沿ったルールを構築しているか」などが主に確認されます。
例)審査時の質問事項
「内部および外部の課題をどこで特定していますか?」
「MSマニュアルの1.1で特定しています」
第二段階審査
第二段階審査では、各部署の責任者とサンプリングで選ばれたその部署の従業員に対して「どういう業務を行っているか」「ルールが守れているか」などが主に確認されます。
また、審査終了時に、審査員から結果について伝えられます。審査報告書を見ながら、どこに対してどのような指摘事項が検出されたかを説明されます。
無事審査を終えれば、後日審査機関よりISMSの認証書が送られてきます。
審査後お打合せ
審査結果を受けて、今後の対応方針の検討や、次年度のISMS運用スケジュールを策定します。
ISMSは一度取得して終わりではなく、継続的に改善しながら運用していくことが重要です。
しかし、実際のところ運用がうまくいかず、せっかく取得したISMS認証を早々に返上してしまったり、毎年の審査で大混乱が起きてしまったりという企業も少なくありません。
- 効果的なISMS運用をサポートする下記サービスもご用意しています。
- コンサルティングサービス「情報セキュリティ倶楽部」
ISMS取得後の運用をサポートするサービスです。 - セキュリティ教育クラウド「セキュリオ」
eラーニング・法令管理・委託先管理など、ISMSに必要な機能が揃っています。
- コンサルティングサービス「情報セキュリティ倶楽部」
以上が、大まかなコンサルティングの流れ(シンプルコース)です。
実際には、お客様の状況等によってご支援内容や方法が異なるため、「自社の場合はどのようなご支援体制・流れになるのか」という点は、ぜひ一度お電話やメールでお問い合わせください。
お気軽にご相談ください
- サービス資料請求
- ダウンロード(無料)
- お問い合わせ
- お問い合わせフォーム
神戸・東京オフィスで、情報セキュリティマネジメントシステムの国際規格であるISO27001/ISMSの認証を取得しています。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/wp-content/themes/lrm_basic/images/f_tel.png)