ISO27001(ISMS)は、組織が保護すべき情報資産について、情報漏えいや不正利用などの「機密性」、「完全性」、「可用性」をバランスよく維持するための包括的な枠組みを提供しています。
ISO27001とは?
ISO27001とは?
ISO27001は、国際標準化機構(ISO)より2005年に発行された情報セキュリティマネジメントの国際規格であり、組織が保有する情報資産を適切に管理するための枠組みを提供しています。
また、ISOによる定期的な規格の見直しの結果、2度の改訂が行われ、最新版は2022年10月に発行されたISO27001:2022となります。
組織のIT依存度が向上するのと比例し、増加するIT事故を背景に、情報セキュリティマネジメントの構築の機運が高まっています。
ISO27001の特長
ISO27001:2022に基づいた情報セキュリティマネジメントシステムの構築・運用、認証を通じて、以下のことが可能になります。
情報資産の適切な管理
効果的なリスクアセスメントを実施することにより、情報資産のリスクに応じた管理策を実施し、情報資産の機密性、完全性、可用性を確保することが可能になります。
インシデント発生時の対応力の向上
あらかじめ、情報セキュリティインシデントが発生した際の対応手順を明確にすることにより、万が一インシデントが発生した場合でも迅速に対応することが可能になります。また、それらのデータを分析することにより、効果的な予防処置をとることができます。
企業価値の向上
認証取得によりお客様への安心の提供、及び信頼の獲得が実現できます。
ISO27001認証取得までの3ステップ
ISO27001を認証取得するためには、次の3ステップが必要となります。
STEP1 ISO27001に基づく、ISMS(情報セキュリティマネジメントシステム)の構築
ISO27001の規格要求事項に適合した仕組みを構築します。
一般的には「規格要求事項の理解」、「必要な体制の構築及びルールの策定」、「必要な文書・記録の作成」を行います。
STEP2 構築したISMSの運用
ISMSの導入教育を行い、組織内に構築したISMSを導入します。
また、1.5~3.0ヶ月間運用を行った後に、内部監査(ISMSが適切に運用されているか組織内の者によって確認されるチェック活動)、マネジメントレビュー(トップマネジメントによるISMSの全体的なレビュー活動)を行います。
マネジメントレビューまで終了すると、認証審査を受審することができます。
STEP3 第三者認証機関による審査の受審
ISO27001の認証審査を行っている第三者認証機関から審査を受けます。
初回審査は、2段階に分かれており、第一段階目審査では体制面に関する審査、第二段階目審査では運用面に関する審査が行われます。
なお、体制面に関する審査は、ISO27001に基づいて適切にISMSが構築されているか確認することを目的としており、運用面に関する審査は、構築したISMS通りに運用がされているか確認することを目的としています。 審査において適切に構築・運用されていることが確認されると、審査の約1ヶ月後に正式にISO27001の認証が授与されます。
ISO27001コンサルティングサービスの内容
キックオフから認証の取得まで、ISO27001の認証を全般的にサポートさせていただきます。
[1]ISO27001入門勉強会及び推進手順の説明
貴社のキックオフミーティングに参加させていただき、事務局の方及び部門の代表者の方にISOやISO27001の概要及び認証取得のための推進手順をご説明させていただきます。
[2]ISO27001の要求事項勉強会
推進する事務局の方及び部門の代表者の方にISO27001が何を求めているのかをご説明させていただきます。
規格の要求事項を正しく理解することが構築の成功の最も重要なポイントです。
[3]GAP分析・基本要件の決定
ワークシートや調査票を提供させていただき、ISO27001の規格要求事項を実現するための基本要件決定のご支援をいたします。
[4]リスクアセスメントの実施及び適用宣言書の作成支援
リスクアセスメント勉強会の開催、リスクアセスメントツールの提供を通じて、効率的、効果的なリスクアセスメント実施のご支援をいたします。
[5]手順の文書化
決定した基本要件及びリスクアセスメント結果に基づき、貴社がルールを文書化する際に、情報セキュリティ方針、ISMSマニュアル、手順書・基準書、及び書式などのサンプルを提供し、効果的で効率的な文書を作成できるようにサポートさせていただきます。
[6]審査機関の決定
貴社が審査機関を選定する際のサポートをさせていただきます。
貴社の業種や業務に精通した適切な審査機関をご紹介いたします。
[7]ISMS導入教育
貴社が主催する構築したISMSを導入のための「ISMS手順の説明会」に参加させていただき、対象社員向けに「ISO27001(ISMS)入門勉強会」を開催させていただきます。
[8]内部監査制度構築
内部監査員養成のための勉強会の開催、手順書、様式サンプルの提供及び内部監査の実施指導を支援いたします。
勉強会の参加者には「ISMS内部監査員コース修了証」を発行させていただきます。
[9]認証審査
審査前の模擬審査の実施及び受審準備、認証審査の立ち合い、及び審査後のフォローアップなど審査の受審に必要なすべてのサポートを提供させていただきます。
お気軽にお問い合わせください
当社では、ISO27001の新規認証に関するご支援や取得後の改善支援、2013年版からの移行対応等、各種サービスを取り揃えております。
また、ご要望のお客様には個別相談会やメール・電話でのご質問を承っております。
お気軽にお問い合わせください。