ISMS(ISO27001)取得支援サービスについて

Pマークコンサルティング HOME » ISMS(ISO27001)取得支援サービスについて

ISO27001(ISMS)とは？

ISMSは、｢情報セキュリティマネジメントシステム（Information security management system）｣の略称であり、技術的なセキュリティ対策だけでなく、人間系の運用・管理面のセキュリティ対策も含めた、組織全体の情報セキュリティ管理を達成するための経営システムの一部です。

これに対してISO27001（Information security management systems-Requirements）では、組織が情報セキュリティを確保するための仕組みであるISMSを構築・運用する為の要求事項を規定しています。

すなわち、ISO27001認証とは、その組織が構築したISMSの運用がISO27001の要求事項を満たしていることの証明となります。

ISO27001(ISMS)取得のメリット

社会的信用性：信頼性の獲得

情報漏洩による信頼性および信用性の失墜から企業を守り、イメージアップにつながります。

他社との差別化、売上向上

近年多発する「情報漏洩」事故では、「取引先」からの漏洩も相次いでいます。企業としては、当然、「情報セキュリティ管理」のしっかりしている企業に発注したいのではないでしょうか。

営業ツールとしての活用

「当社の情報セキュリティはしっかりしています」、では説得力に欠けます。第三者認証を受けているということで、企業の信頼性も飛躍的に向上します。

ISO27001(ISMS)取得支援サービス紹介

ISO27001の認証取得のポイントは、情報セキュリティリスクを低減させるための活動を、通常業務に負担の無いように浸透させ、改善できるような仕組みを構築するかにかかっています。その為には、その活動のベースとなる文書類（マニュアル、手順、規定など）の作成には真剣に取り組まなければなりません。

構築した仕組みが組織の業種や実態に合ったものでないと、認証取得後、情報セキュリティの維持や改善の活動が効果的に施されなかったり、業務に支障をきたしたりして情報漏洩リスクは増大します。また、認証取得後、ISMS（ISO27001は、ISMSがしっかりと構築できているかの証明です）を効果的に活用するとなると、内部監査のレベルアップを継続して行う必要があります。

ISO27001(ISMS)取得の流れ

経過月	コンサルティング項目	支　援　内　容
開始前	インフォメーションフローチェック	まずコンサルティングに入る前に貴社の現状の、セキュリティ設備、意識、機能等をチェックします。この結果を基に、当社講師が、活動スケジュールを組み立てます。これと同時に、貴社には、「キックオフ宣言」も行なって頂き、情報漏洩に対する脅威を全社員に意識させていきます。活動の意義を全社員に宣言し浸透させる事がスムーズな取得活動に直結します。
1ヶ月	基本構想、方針策定	「ISO 27001」についての説明、取り組み方法を指導し、適用範囲や、組織体系等、基本構想を策定していきます。次に「事業の特徴、組織、所在地、技術の観点から情報セキュリティ基本方針を策定します。
2ヶ月	情報資産のリストアップ	貴社が現在保有している「情報資産」をリストアップしていただきます。ここでのポイントは、この時に会社として重要な情報は何か、業務上重要な資産は何かを作業時間やコストから見て抽出することです。
2ヶ月	リスク識別	情報資産をリストアップしたら、適応範囲の中の資産およびそれらの所有者、資産に対する脅威、脆弱性、資産に与える影響を考慮し、リスクを識別します。リスクを識別することは、リスク評価をする場合、保有情報や保有資産、また、どのような脅威が起こりえて、それに対し、どのような脆弱性が考えられるのか、会社がどのような影響を受ける可能性があるのかを明確にするのに役立ちます。この作業を確実に行うことによって、リスクアセスメントを適切に効率的に行うことができるようになります。
2ヶ月	リスクアセスメント	守るべき情報資産と特定された情報資産に対する価値、脅威、脆弱性の評価を行い、詳細にリスクを評価します。価値評価をする指数として、もっとも望ましい形である「金額」で表現することによって、リスク対策の費用対効果を明示することができるようになります。ここでの脅威の評価とは、資産に対して負の影響が起こる物事や象徴のことであり、脆弱性の評価とは、脅威に対する現状の管理体制を評価することを指します。
4ヶ月	リスク値の算出	資産価値、脅威、脆弱性からリスク値を算出します。五段階評価など、誰が見ても分かるように、リスクレベルを定義付けることが求められます。また、脅威が発生した場合、組織に与える悪影響の度合いで評価する場合もあります。企業が保護すべき情報資産について、情報の機密性、完全性、可用性をバランスよく維持し、改善していくことが重要なポイントとなります。
5ヶ月	管理策選択	これまでの活動で、対策が必要と考えられるリスクが多数浮き彫りになってきます。それに対し、リスク対応の為、軽減、受容、回避、移転などの管理策を選択、それぞれのリスクについて、組織にとってメリットのある詳細管理策を選択します。管理策は、選択した内容、選択しなかった理由を適用宣言書にまとめます。
5ヶ月	実地計画	具体的な課題が見えてきたら、事業継続上、優先順位の高いリスクから対策を実地していきます。対策内容は、可能な限り具体的にして、リスク対応計画を作成していきます。計画の進捗・対応・結果などを管理し、確実に社内で導入していくことが重要です。
6ヶ月	文書化	規格要求事項にのっとったマニュアル・手順書などを当社がオーダーメイドで作成します。文書を作成する際には、必要最低限の文書量に抑えることが、成功の最大のポイントです。また同時に、各種記録のフォーム作成支援も行います。
6ヶ月	実践サポート	これより、実地展開がスタートします。（実地前に２週間ほどの準備期間を設けます。）ここでは、導入した仕組みを安定して運用していくことができるようなコンサルティングに重点をおきます。トップセミナー
7ヶ月	内部監査セミナー	ISO 27001 導入後には、定められたルールが運用されているか、確認する為の内部監査員を育成いたします。
8ヶ月	内部監査立会い	策定したルールが有効に機能しているか、定期的に実施されているか、効果は？などを当社講師が内部監査に実際に立会い、側面から貴社にマッチしたような適切なアドバイスを行います。
9ヶ月	模擬審査	本審査に向け、当社講師が現実に即した審査を実施します。
10ヶ月	実地審査（本審査）	審査登録機関によって、実地審査（本審査）が行われます。
11ヶ月	是正処置	審査により指摘された「不適合」に対する是正処置