ISO27001(ISMS)

ISO27001(ISMS)認証取得の流れ

ここではISMS構築開始から審査受審までの流れをみてゆきます。
※詳細は各フェーズをクリックしてください。

受審 4. 運用 3. 文書化 2. 現状の把握 1.方針・体制・適用範囲の決定

1.方針・体制・適用範囲の決定

情報セキュリティマネジメントシステム(ISMS)についての方針や、マネジメントシステム構築にあたっての推進体制を取り決めます。ISO27001(ISMS)によるISMS認証では、適用範囲を限定することができますが、その場合は適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。

2. 現状の把握

組織の情報を踏まえ、情報資産の洗い出しを行い、情報資産の機密性・完全性・可用性を失わせるリスクの識別・発生可能性と、機密性・完全性・可用性が失われた場合の組織にとってのインパクトからリスクのレベルを求め(リスクアセスメント)、リスク対応の方針を決めてゆきます。

情報資産の洗い出し→リスクの識別→リスクレベルを決める→リスク対応の方針を決める

3. 文書化

ISMSの運用に必要な規程・手順類と、運用に関連する記録類のフォーマット(様式)や、採用した管理策(セキュリティ対策)の手順を定めた手順書類を策定してゆきます。

ISO27001(ISMS)で要求されている文書については、規格要求事項の4.3.1項に掲載されていますが、その中で特徴的なものが「適用宣言書」です。ISO27001(ISMS)の規格文中では、本文(4項から8項)についての適用除外はできず、組織の状況に即した採否が可能な規程文は附属書Aのみのため、管理策(と管理目的)の採否とその理由を記述する特別な文書が必要とされています。それが「適用宣言書」です。

4. 運用

経営者に対しリスクアセスメントの結果の報告(文書が必要)と、リスク対応の検討後明らかになった残留リスクの承認を受ける必要があります。その結果としてマネジメントシステムの運用の許可を経営者から受けるという形で運用が始まります。

自社のISMSについて、関連する社員全員に理解してもらうための教育・訓練と、システムを一通り運用し、理解を深めてゆく定着活動を行います。ISMSの内部監査の実施も必要です。また、採用した管理策の有効性の測定も要求されています。マネジメントシステムの運用状況の報告を受け、経営者が評価や改善指示をするマネジメントレビューを実施します。こうしたマネジメントシステムの運用については、記録の維持が要求されています。

マネジメントシステム

5.受審

第1段階:文書審査 第2段階:実地審査

いよいよ初めての審査(初回審査)です。他のISOマネジメントシステムの認証制度と同様、2段階の審査を経ることになっています。第1段階は文書審査で、情報セキュリティマネジメントシステムについて規程した各種文書類が、ISO27001(ISMS)の規格要求事項に沿っているかどうか確認されます。第2段階の実地審査では、組織の各部門の現場における実施状況が確認されます。
審査後、指摘された不適合に対する是正処置を書面にて報告し、処置内容に問題なしと判断されれば審査登録(認証)に進みます。

審査スケジュールですが、文書審査と実地審査の間は最低1ヶ月程度空けることになっているはずです。実地審査後の是正処置が認められれば1ヶ月程度で認証取得(審査登録)となるでしょう。


Pマーク・ISO認証取得に関する相談窓口 受付時間/平日9:00〜18:00 Tel 0120-641-999 メールでのお問い合わせはこちら お問い合わせフォーム

メールでのお問い合わせはこちら

このページのトップへ