業務拡大に伴い、社内の情報システムやネットワークが増え、情報漏洩やサイバー攻撃のリスクが高まっていると感じている担当者も多いのではないでしょうか。社内に十分な情報セキュリティ意識が浸透していないことも課題の一つとなりやすく、あなたも情報セキュリティに関する認証を取得するために情報収集をしているところかもしれません。
この記事では、情報セキュリティに関する国際規格であるISMS(ISO27001)を取得するために必要な5つの前準備について、ポイントを5つに絞ってご紹介します。
ISMSの構築・運用について気をつけるべき部分を知り、社内の情報セキュリティ強化のための準備に役立てていただければと思います。
目次
ISMS(ISO27001)認証とは
ISMS(Information Security Management System)とは、情報セキュリティを確保するための組織体制や方針、手順、技術などの体系的な管理システムです。ISO27001は、このISMSに関する国際規格であり、認証取得によって、企業や団体が情報セキュリティに対する適切な対策を講じていることを証明することができます。
詳しくはこちらの記事で解説しています。
ISMS(ISO27001)認証取得のメリット・デメリット
ISMS(ISO27001)認証の取得には、以下のようなメリットがあります。
- 情報セキュリティの信頼性が向上する
- 情報漏洩やハッキングなどのセキュリティリスクを低減できる
- 新規顧客獲得につながる
- 競合優位性を得ることができる
一方で、以下のようなデメリットもあります。
- 認証取得までの時間や費用がかかる
- 情報セキュリティ管理に対する意識が低い場合は、認証取得が困難になる
- 認証取得後も情報セキュリティの維持・管理が必要
詳しくはこちらの記事で解説しています。
ISMS審査前に準備すべき5つのポイント
ISMS(情報セキュリティマネジメントシステム)の認証基準であるISO 27001を取得するためには、以下のような条件を満たす必要があります。ISMSの審査機関は複数ありますが、どこの審査機関で審査を受ける場合でも、事前準備の内容に差はありません。
- 書類審査に必要な書面を提出できるようにする
ISMS(ISO27001)の審査で必要な書類は「文書」「記録」「帳票」の3種類です。それぞれ、以下の内容となります。
①文書…情報セキュリティ方針や規格要求事項に準拠したマニュアルなど、自社のマネジメントルールが文書化されたもの
②記録…ルールどおり運用されているかどうかチェックするための記録
③帳票…安全管理規定やマニュアルに記載されている帳票
第一段階審査は、文書や記録がきちんと整備されているか、それらがISMSの要件を満たしているかの確認・評価となります。審査機関によって問題ないと判断されれば、第二段階審査と呼ばれる現場審査に進むことができます。
- ISMS運用の記録を提出できるようにする
先述のとおり、審査では実際の「記録」が必要になります。文書に記載されている「記録」の整合性をチェックされるため、審査直前に慌てて準備するのではなく、日々の運用の中で外部に提出できるような記録を残していくことが大切です。あらかじめ準備しておきましょう。
- 内部監査、マネジメントレビューを準備する
運用記録とは別に、内部監査のなかで明らかになった不適合やそれにどのように対処したのか、今後の課題、改善策などを盛り込んだマネジメントレビューにまとめておきます。
- 質問と回答の内容を準備するようトップに伝える
審査では、経営幹部や部署の責任者などのトップ層に対して質問が行われます。マネジメントレビューの内容と矛盾しない回答をするためには、審査の日程をトップ層に伝え、トップ層がマネジメントレビューの内容を十分に理解していることが重要です。新規事業を始めたり、オフィス移転などをした場合には、その目的を聞かれることもあるので、準備をしておくと安心です。
- 組織の担当者の予定を調整する
審査では、組織のトップ層やISMSの責任者などの関係者が参加することが必須です。急に審査の参加を依頼しても、対応が難しいことも考えられるので、スムーズな審査のためには、早めにTOP層のスケジュールを確保することが重要です。早期に計画を立て、必要な参加者が予定を調整できるようにしましょう。
ISMSの認証基準であるISO 27001の認証を取得する前にはスムーズな審査のためこれらの5つの前準備を心がけておきましょう。
ISMS審査には3つの種類がある!
ISMSには3つの審査があり、受審するタイミングによってどれを受けるかが決まります。
ISMS認証の有効期限は3年間となっていますが、有効期限中は何もしなくてもいいというわけではなく、毎年1回、維持審査を受けなくてはいけません。
つまり、ISMS認証の取得後も、毎年何かしらの審査を受け続けなくてはならないということになります。
では、実際にどんな審査があるのか、詳しくご紹介しましょう。
■取得審査
初回審査または登録審査と呼ばれることもある、ISMS認証を取得するために受ける審査のことです。
審査は文書審査と現地審査の2回に分けて行われ、文書審査では文書がISO27001の基準に適合しているかを確認します。文書審査を終えてから2週間~1ヶ月程度の間をおいて、現地審査が行われます。現地審査では、審査員が現地を訪問して、運用状況や従業員の理解度について確認していきます。
この審査をパスすると、ISMS認証が発行されて正式に認証を取得したことになります。
■維持審査
サーベイランス審査もしくは定期審査と呼ばれることもあります。
ISMS認証を取得後、認証の有効性を維持する目的で毎年実施される審査となります。審査員が現地を訪問し、リスクアセスメントの更新状況や内部審査の実施状況、是正措置の履行状況などについて確認します。
さらに、情報セキュリティに関する新たな課題やリスクに対し、適切に対応できているかどうかも評価対象となります。
■更新審査
ISMS認証を取得した組織が、3年に1回受ける審査のことです。
取得審査と同様に、文書と審査と現地審査が行われ、ISMS全体の運用状況と改善状況について、詳細に確認されます。
更新審査に合格すれば、ISMS認証の有効期限がさらに3年間延長されます。
以上が、定期的に受ける審査となります。
上記以外にも、臨時で受ける審査として、ISMSの対象となる業務内容や拠点が増えたときに受ける「拡大審査」、ISMSの対象となる拠点が移転した場合に受ける「移転審査」、ISMSの対象となる業務内容の縮小や拠点の減少に伴って受ける「縮小審査」があります。
ISMS認証の取得から10年以上が経過した会社でも、審査で指摘事項が発見されることがあります。
指摘事項があったとしても、所定の手続きにしたがって改善すれば、ISMS認証は取得できるため、過度に指摘を恐れることはありません。
できていないことがあれば、正直に「できていない」と申告・報告しましょう。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
