ISMS(ISO27001)の取得には通常1年半から2年ほど期間が必要といわれていて、なかには何年もかかってしまい、ついに取得を諦めたというケースもゼロではありません。いったいなぜ取得が難しいのでしょうか。ISMS取得に向けた流れの中で、ISMS(ISO27001)取得の難しい点について解説します。
目次
ISMS認証が難しい…挫折しやすい4つのポイント
組織の規模が大きくて情報資産が複雑化している
規模の大きな組織や、情報資産が多数存在する業種(例えば金融業界や医療業界など)では、ISMSの策定や運用が複雑化するため、認証取得の難易度が高くなります。リスクアセスメントのツールやフレームワークを活用したり、定期的にリスクの見直しを行い、アセスメントをアップデートすることで対応できます。
組織の情報セキュリティ対策が為されていない
ISMS認証取得の際に、情報セキュリティ対策が必須となります。そのため、まだ組織内に情報セキュリティを守る施策が整っていない場合には、その点を整備し、社内ルールとして浸透する必要があります。そのため、ISMS認証取得の難易度が高くなります。既存の組織内のリソースやノウハウを確認しながら、段階的に体制を構築することで対応できます。
認証機関の審査基準による難易度差
ISMS認証取得の難易度は、認証機関の審査基準によっても異なることがあります。認証機関によって審査基準が異なるため、同じISMSでも認証取得の難易度が異なることがあります。また、認証機関の審査員の能力や経験によっても、認証取得の難易度が左右されることがあります。
継続的な取り組みや社員教育が面倒くさい
一度体制を構築しても、それを継続的に運用・維持することは労力が必要です。ISMSの運用には、人員の教育・訓練や設備・システムの整備など、多くのリソースや人員が必要になるため、適切な割り当てが行われていない場合や、そうしたリソースが社内にない場合には、認証取得の難易度が高くなります。定期的な監査やレビューを行い、組織のトップからのコミットメントを確保しつつ、全社的な意識啓発や教育を実施して、情報セキュリティ文化を醸成することで対応します。
ISMSとは?
ISMSとは、「Information Security Management System(情報セキュリティマネジメントシステム)」の略称であり、企業や組織が情報セキュリティを確保するための仕組みや体制を整備し、維持・改善するための国際規格です。これを取得することで、企業や組織が情報セキュリティに対する取り組みを公的に認められることができます。
詳細はこちらの記事でも紹介しています。
また、似たような認証にPマーク(プライバシーマーク)というものがあります。
自社はどちらを取得すればよいのか気になる場合にはこちらの記事をお読みください。
ISMSを最短取得するためには
ISMS認証取得のフローを最速で進める必要がありますので、各フローの進め方を紹介します。ISMSを取得するための一般的なフローは以下の通りです。
STEP1
認証の適用範囲を決める
ISMS認証は企業全体だけでなく、企業内の一組織のみを対象として取得することもできます。適用範囲を絞り込むことで、取得までの工数や費用を抑えることができます。組織が大きくなればなるほど取得が難しくなり、期間が長引くので、必要最低限の組織だけ認証を取得することで最短でISMS認証取得が可能になります。
STEP2
ISMS審査機関を選択する
次にISMS審査機関を選択します。国内に多数のISMS審査機関が存在しており、各社が自由な値付けをしています。この段階で各社から話を聞いて審査機関を選択し、審査の日程も大まかに決めて、それをゴールに設定してISMSの構築に取り組んでいきます。
STEP3
情報資産の洗い出しとリスク評価
ISMSの構築の第一歩は、社内に存在する情報資産をリストアップし、リスクを評価することです。これにより、自社がどのくらいのリスクを抱えているのかが明確になり、この先のセキュリティ対策をどの程度強化するべきなのかの判断材料にできます。
STEP4
情報セキュリティに関する規程類を策定する
ISMSを構成する規程類を作成します。通常はコンサルタントが用意する規程ひな形を元に、自社用にカスタマイズしていきます。主なものに「情報セキュリティ方針」「ISMS基本規程」「安全管理規程」「適用宣言書」などがあります。それぞれ内容も役割も違いますから、ここでは専門的な知識が求められますので、自社取得ではなくコンサルティングサービスを利用することで最短取得が可能になります。
STEP5
社員教育
ISMSの適用範囲にいる社員に情報セキュリティ教育を実施し、従業員の情報セキュリティリテラシーを向上させます。以前は集合研修が一般的でしたが、最近はE-Learningを用いることが増えてきました。情報漏えいの多くは人為的ミスでもあるため、ルールを作り、それを周知し、実行することが重要です。弊社も専用のE-Learningツールをご提供しており、社員教育にかかるテスト送付や集計の手間を削減できます。
STEP6
ISMSの運用を開始する
ISMSのルールを作成し、社員教育も行いましたので、社内での運用を開始します。オフィスの出入り口の開錠施錠はしっかり行われており、記録がつけられているか、機密情報を移送・送信する場合にはセキュリティに配慮した方式が採用されているか、社員へのアクセス権の設定は正しくメンテナンスされているか、情報セキュリティ事故が発生した場合は報告を受けて再発防止策を立てているかなど、運用で行うべきことは沢山あります。また、追加のリスク対策を行う場合には「リスク対応計画」を作成して進捗を管理し、確実に完了までもっていきます。
STEP7
内部監査とマネジメントレビュー
ISMSをしばらく運用したら、社内で内部監査を実施します。ここで問題点が見つかったら、速やかに改善します。内部監査が終わったら、その結果も含めて、ここまでのISMSの取り組み状況をトップマネジメントに報告し、今後の取り組みに対するコメントをもらいます。これで審査前に行う全てのアクションが完了しました。
STEP8
認証取得審査を受ける
この段階で外部の審査機関から認証取得審査を受けます。認証取得審査は通常二段階で行われ、一段階目が規程類が整備されているかの審査、二段階目が運用が正しく行われているかの審査になります。審査員は、組織のISMSを評価し、国際規格に準拠しているかを確認します。ここでは、審査員とのコミュニケーションや情報提供が重要です。認証取得審査の結果に基づいて、ISMS認証を取得することができます。
STEP9
無事にISMS取得が完了
審査機関からの認証証明書を受け取ることで、ISMS認証を正式に取得します。認証は3年間有効ですが、その間も1年ごとの継続審査を受けなければなりません。そして3年目には更新審査を受けることになります。認証取得後もISMSをしっかりと運用しなければなりません。
上記のように進めていく各フローを最速でクリアしていくことで4ヶ月~6ヶ月の最短取得が可能になりますが、情報資産の洗い出しとリスク評価と情報セキュリティに関する規程類を策定すること、それから社員教育にかかる時間が一番長くなりますので、最短取得を目指す場合にはコンサルティングサービスを利用することになるでしょう。
Pマーク・ISMSの取得・更新申請のご相談ならオプティマ・ソリューションズ!
ISMS認証取得の難易度は、組織の大きさや、メンバーの体制によって大きく異なりますが、大きな組織であればあるほど、同じ方向を向くのは難しいことではあります。しかし、ISMS認証取得には、企業にとって信頼性向上や経営効率の向上、新規ビジネスチャンスの開拓、競争優位の確保などたくさんのメリットがあります。
また、弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。
