ISO27017認証取得までの流れ
1. 適用範囲の検討
クラウドセキュリティ認証を取得する範囲を決定します。
決定した適用範囲をベースに社内体制を確認し、管理責任者などを決定し、取得に至る大まかなスケジュールを確認します。
2. 審査会社の決定
自社に適した審査機関を選定します。
ISO27017/ISO27018認証は、運用が開始されてから間もないため、クラウドに関する知見が豊富な審査機関が好ましいと言えます。
場合によっては、既存の審査機関からの乗り換えを検討する必要もありますので、なるべく早期に審査機関選定を開始します。
3. クラウドリスクアセスメント
ISMSの管理策にクラウド固有の要素を加えるイメージで、クラウドセキュリティ上のリスク分析や対応策を検討・決定します。
ISO27017の場合は追加で79個、ISO27018の場合は追加で39個の観点からリスクを評価します。
4. 文書作成・見直し
クラウドセキュリティに関する内容を盛り込むべく、既存のISMS文書に修正・追記を行います。
ISO27017/ISO27018認証取得に必要な文書の作成・見直しは、全てコンサルタントが実施します。
5. 従業員教育の実施
これまで構築したクラウドセキュリティのルールをベースに、認証範囲の従業員様に対して従業員教育を実施します。
Eラーニングや集合研修形式など、従業員様の勤務状況やご意向に沿った手法をお選びいただけます。
6. 内部監査
取得範囲の部署でルール通りに運用が為されているか、社内のセキュリティ体制を確認する内部監査を実施します。
基本的にはコンサルタントが貴社にお伺いの上、内部監査を実施しますので、必要に応じて各部署への調整・手配や、ご担当者様に同道いただきます。
7. マネジメントレビュー
取り組みの集大成として、経営陣へISMS活動の成果を報告します。
クラウドセキュリティを含めたISMS/ISO27001の改善の必要性やリスクアセスメント、リスク対応計画の更新について検討し、より良いISMSの形を模索していきます。
8. 審査受審
審査機関による文書審査、現地審査を受審します。
ISO27001認証初回審査に合わせてISO27017/ISO27018認証を取得するのか、それとも、ISO27001認証の維持審査や更新審査に合わせてISO27017/ISO27018認証を取得するのかで、審査の時期や段取りが変わってきます。
事前にコンサルタント、審査機関と段取りを打合せておきましょう。
9. 審査指摘事項対応
現地審査を受審した後、審査機関より寄せられた指摘事項への対応を行います。
基本的にはメールや電話ベースで指摘事項への対応は完了可能ですが、対面でのお打合せが必要な場合などは、臨機応変にコンサルタントが現地へお伺いします。
そうして審査指摘事項への対応を終え、それらが適切であるとみなされれば、認証取得が確定します。
審査機関からの審査合格連絡が入ってから約1ヶ月後に、登録証や認証のマークがお手元に届きます。
おめでとうございます!
ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。