お客様の規模や事情に合った適切なISO27001(ISMS)認証取得コンサルティング


ISO27001は、企業が保有するあらゆる情報を適切に管理・運用し、一定以上のセキュリティレベルに達した企業に与えられる認証です。ISO27001を取得することで、企業の社会的信用が高まります。

ISO27001とは

ISMS = Information Security Management System

(情報セキュリティマネジメントシステム)

           

 ISMS(情報セキュリティマネジメントシステム)を、①どのように「構築」し、②どのように「運用」すれば、認証を取得することができるのかを定めた「要求事項=審査の基準」の国際規格です。

 日本では、ISO27001が正式発行される前に、「ISMS適合性評価制度」として認証 制度が運用されていたため、ISO27001=ISMSという認識が根付いています。本来は、ISO27001が「規格名称」、ISMSは「システム」の名称です。

情報セキュリティとは

情報セキュリティを構成する要素

           

 ISO27001でいう情報セキュリティとは、上記のような特性を保護することであり、規格要求上では最低限「機密性」「完全性」「可用性」の保護が必要です。

           

情報セキュリティのCIA

C 機密性(confidentiality)

許可されていない個人、エンティティ(個人以外の団体・組織等)又はプロセス(活動そのもの)に対して、情報を使用させず、また、開示しない特性

 ⇒誤った相手にメールを送ってしまったりすると・・・

I 完全性(integrity)

正確さ及び完全さの特性

 ⇒ホームページやデータベースが改ざんされたり、誤入力したりしてしまうと・・・

A 可用性(availability)

認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

 ⇒どこに必要な情報があるか分からない、保存先は分かっているけどアクセスできないと・・・

情報セキュリティの最適化とは

           

本人A:「大事な顧客情報だから、ファイルにパスワードをかけてサーバに保存しておこう」

           

同僚B:「今日この情報が必要なのに、本人Aが休んでどこにファイルがあるか分からない・・・」

同僚B:「本人Aしかパスワードが分からないのに、急に休んでしまってファイルが開かない・・・」

同僚B:「本人Aが退職してしまって保存場所も分からないし、見つかってもファイルが開かない・・・」

 セキュリティの語源は、ラテン語の「気配り」と言われています。情報セキュリティとは、まさに「情報への気配り」です。上記のように本人Aにより機密性は保護されても可用性が損なわれてしまうケースは、最適な気配りがされているとは言えないかもしれません。行き詰ったら視野を拡げて何のための情報セキュリティなのかをもう一度考えてみましょう。

最適化のためのPDCAサイクル

情報セキュリティを構成する要素

           

 上図のような「継続的な改善」を実現するPDCAサイクルを回し続けることで、最適化を図っていくことになりますが、プロジェクトの導入時は「C」から開始する組織もあります。(現状のルールが妥当なのか?それをどの程度運用できているのか?のチェックから始めるということです)

取り組みの結果、期待できること(例)

【業務効率の改善】

組織内にどのような情報がどこに存在するのか把握することができます。必要に応じた共有ができるため、情報の効率的な利用に繋がり、業務効率が改善されます。

また、書類やデータを探す時間を短縮することができるため、これによっても業務効率が改善されます。

           

【適切なリスク対応の実現】

例えば、上記の裏返しで、情報を共有することによるリスクを把握することができ、適切なアクセスコントロール(共有する必要が無い人員にはアクセス権を与えない)を実現することで情報漏えいリスク等を低減することができます。

           

【事業継続性の向上】

訴訟やトラブル対応の際に、記録等により組織が適切な対応をしていたことを証明し易くなり、事業継続性が向上します。

ISO27001規格の概要

項番タイトル概要審査対象
序文ISO27001の基本となる概念の説明
1適用範囲ISO27001規格の立ち位置、対象についての説明
2引用規格引用規格の説明
3用語及び定義用語の説明はISO27000にあることを表示
4組織の状況組織が抱える課題や利害関係者の要求特定、適用範囲の決定
5リーダーシップトップマネジメントの責任
6計画リスク・機会の特定、リスク分析、評価とその対応、目標設定
7支援ヒト、モノ、情報といった資源の管理、社内外のコミュニケーション、文書管理
8運用構築されたISMSの運用
9パフォーマンス評価パフォーマンスの分析・評価、内部監査、活動の振返り
10改善不適合の是正と改善の継続
付属書A         管理目的及び管理策(情報セキュリティのための対策)           〇   
  

付属書Aの概要

項番管理目的管理策数主な管理策
A.5情報セキュリティのための方針群2方針の策定、通知、レビュー
A.6情報セキュリティのための組織7役割や責任といった体制の構築、モバイル機器、テレワークの管理
A.7人的資源のセキュリティ6人員選考、雇用期間中、雇用終了もしくは雇用変更時の対策
A.8資産の管理10資産目録の作成等による組織内の資産把握と管理の実行
A.9アクセス制御14情報やそれを格納した設備へのアクセスコントロール
A.10暗号2暗号使用時の方針策定と実施
A.11物理的及び環境的セキュリティ15入退室管理、PC管理等の物理的対策
A.12運用のセキュリティ14PC等設備操作手順の作成、ウィルス対策やログ監視
A.13通信のセキュリティ7ネットワークの管理、情報伝送・授受時の対策
A.14システムの取得、開発及び保守13(自社で使用する)システムの開発、導入時の対策
A.15供給者関係5委託先を含む購買先の管理
A.16情報セキュリティインシデント管理7セキュリティ事象の報告、事故そのものの対応、記録の取得
A.17事業継続マネジメントにおける
情報セキュリティの側面
4事業継続計画への情報セキュリティ要素の導入
A.18順守8知的財産や個人情報等にまつわる法令の順守、各種レビュー

ISO27001認証取得までの主な行程

ISO27001認証取得までの主な行程

適用範囲の決定

適用範囲とは、ISMSを運用する範囲のことであり、「認証範囲=審査対象範囲」とお考えください。

           

適用範囲について

※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。

【参考】 文書(規定や記録)化対応

 規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。

文書化対応について

推進体制の例

推進体制の例

ISO27001認証取得後の活動

【審査サイクル】

ISO9001審査サイクル(初年度から6年目まで)

【審査と審査の間の活動】

運用計画の策定、運用計画に則った活動、変化に応じた対応

※運用負荷を下げるためのヒントは規格にあります。規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。

認証取得までの主な費用

1審査費用必須
2改善のための設備投資等状況と目的による
3外部からの支援費用
(コンサルティングフィー等)

費用1:審査費用

審査費用を決める主な要素

  1. (1)適用範囲
    1. ①対象業務の内容
    2. ②対象人数
    3. ③対象サイト数(拠点数)
  2. (2)他のISO認証取得状況(同時審査等が可能かどうか)
  3. (3)審査機関の選択(審査機関は任意で選択可能です)

審査費用の種類

種別時期審査規模・費用
初回審査費用新規取得時
継続審査(サーベイランス・定期審査)費用再認証と再認証の間
再認証審査(更新審査)費用3年毎

費用2:セキュリティレベルを上げるための投資

 審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。

ISO27001セキュリティレベルを上げるための投資

費用3:外部からの支援費用

【金額を決める主な要素】
1取組目的認証を取得できればよいのか、明確な目標・テーマがあるの
2期間極端に短期間(6ヶ月程度)、極端に長期間(1年半以上)
3対象組織規模
事業内容
調査にどの程度の時間を要するか
監査にどの程度の時間を要するか
4他認証の有無
既存文書内容・量
設備環境
システムの理解、文書の読込にどの程度の時間を要するか
既にどの程度要求事項に適合しているか
5支援範囲どの工程を支援するか
6支援内容アドバイス中心なのか、作業支援が必要なのか等

ISMS運用のコツ

1、規格要求事項の意図を理解する

 意図を理解することで「最低限やらなくてはいけないこと=やらなくてもいいこと」が見えてきて、運用の効率化につながります。したがいまして、規格要求を理解せずにISMSの最適化は有り得ません。

2、バランス感覚を失わない

 認証取得・維持活動を続けていると、規格要求事項しか見えなくなり、本来であれば有り得ない思考に陥ることがあります。結果として、認証を取得するためだけの活動となってしまい、業務効率等を必要以上に損なってしまうことがあります。そんなときは何のためにこの活動を行うのか認識することが重要です。ときには、まわり(例えば事務局以外の従業者)の意見に耳を傾けてみましょう。

帝国データバンクネットコミュニケーションは、認証取得後に「ただ認証を維持するためだけの支援」が不要となるよう、皆様の自立運用成立を目指してご支援します。

           

           

           

帝国データバンクネット
コミュニケーションなら

帝国データバンクネットコミュニケーションの認証取得コンサルティングは、次の3つの強みを主としてお客様の事業発展に貢献します。

信頼とノウハウ

2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。

ワンストップ

ISO27001とプライバシーマークを中心に、各種認証取得コンサルティングが可能。専門性の高いコンサルタントが、ISO27001の認証取得に限らず、他の認証取得もワンストップにてコンサルティングが可能です。

発展性

認証取得のみならず、様々な事業発展コンサルティングが可能。ISO27001などの認証取得のほかにも、インターネットを活用したご提案を通じて事業発展に貢献しています。


お客様のご要望や規模に応じてプランをカスタマイズ

お客様のご要望や事業規模などで、認証取得を目指す速度や情報セキュリティマネジメントシステムの内容が異なってまいります。

5つの基本プランをカスタマイズして、お客様に最適なコンサルティングプランをご提案致します。

なるべく苦労なく取得

ISO27001認証取得には苦労が伴うものです。ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。

なるべく早く取得

認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。

認証を維持・更新

認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。

業務改善の相談

自社の規模やリスクに応じた情報資産の管理体制強化などISMS構築が主で、併せてISO27001を取得したいというお客様のための、業務改善コンサルティングサービスです。

スマート化・実効性強化

構築した情報セキュリティマネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護の手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。


コンサルティング内容の基本パターンとカスタマイズ
主な項目基本パターン変更・追加パターン
リスクアセスメントリスクアセスメントの手順の説明
サンプル手順の提供
リスクアセスメント結果のレビュー作成
アセスメントの代行
文書作成サンプル文書の提供、読み合わせ
文書修正結果のレビュー作成
カスタマイズしたサンプル文書の提供
文書修正作業の代行
教育教育資料の作成
社員や役員の研修の実施
研修記録の作成
運用管理オフサイトにて相談受付定期訪問によるシステム運用状況の確認
内部監査内部監査員養成研修の実施
内部監査の立ち会い
改善策の提案
内部監査の代行
内部監査記録の作成
マネジメントレビューマネジメント見直しの立ち会いマネジメント見直し記録の作成代行
審査模擬審査の実施、審査傾向の案内
審査での指摘事項の対応策提案
審査の立合い


資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。


ご支援の実績


その他、次のような業界で、ISO27001認証取得コンサルティングの実績がございます。

  • 広告代理業
  • 人材派遣業
  • 印刷業
  • リサイクル業
  • セールスプロモーション業
  • 不動産業
  • 運輸業
  • 翻訳業
  • 結婚紹介サービス業
  • ビル管理業
  • PCサポート業
  • アパレルメーカー
  • 介護サービス業
  • 輸入・輸出業
  • アウトソーシング業
  • エステサロン運営
  • ブロードバンド回線販売


コンサルティング開始までの流れ

お問い合せ

ISO27001認証取得コンサルティングをご検討の方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。

概算見積ご案内

必要に応じて概算見積をお作り致します。

訪問してのご説明

お客様のところに訪問し、コンサルティングの手法や流れについての概要を説明させて頂きます。お客様の状況や、コンサルティングのプラン、本見積の作成のために必要なことをヒアリングさせて頂きます。

本見積ご案内

ヒアリングの内容より、お客様に最適なコンサルティングプランのご提案と本見積を作成致します。後日、再度のご訪問にて、お客様独自のプランをご説明致します。

お申込み

コンサルティングのプランやお見積りの内容にご納得頂けましたらお申込みください。

ご契約

ご契約時には、契約書類や秘密保持契約の取り交わしを行います。

開始前打ち合わせ

ISO27001認証取得コンサルティング開始前に、コンサルティングの流れや日程調整、従業員の方々への説明などの事前打ち合わせをさせて頂きます。

コンサルティング開始

お客様のISMSを構築し、ISO27001認証取得に向けてコンサルティングを開始します。


よくあるご質問

Q. プロジェクトメンバーには、どのような人材が適任ですか?

組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。

Q. ISO27001の認証取得には、どれぐらいの期間が必要ですか?

「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月~12ヶ月を目安にお考えください。

Q. ISO27001の取得までにどれぐらいの費用がかかりますか?

ISO27001を取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。

Q. ISO27001を取得するメリットは何ですか?

セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。

また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。

Q. プライバシーマークとの違いは何ですか?

プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、リスクに応じた情報資産の管理をテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。

Q. ISMSとISO27001は何が違うのですか?

ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。

ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。

Q. ISO27017とは何ですか?

ISO27017は、クラウドサービスを提供、利用する組織向けの情報セキュリティガイドラインです。あくまでもガイドラインであり、認証規格ではないのでご注意ください。なお、日本ではクラウドセキュリティ認証としてJIPDECがISO27017に準拠した認証制度を運用していますので、よろしければJIPDECのサイトをご覧になってください。

【参考】JIPDECホームページ:https://www.isms.jipdec.or.jp/isms-cls/isms-cls-publish.html

また、弊社でもクラウドセキュリティ認証の支援をご提供しておりますので、併せてご覧になってください。

⇒ISMSクラウドセキュリティ認証について

Q.今までの実績で、ISO27001認証取得支援をした企業で、どの程度の事業規模のお客様が多いですか?

従業員3名の会社のお客様を支援させて頂いたこともございます。大企業としては、東証一部上場企業のお客様も何社か支援をさせて頂きました。数としては中小企業のお客様が多いです。

Q. 認証取得のために、どの程度のセキュリティレベルが要求されますか?

ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。

ISO27001認証取得コンサルティングのよくあるご質問一覧はこちら

ご挨拶

ISO27001はプライバシーマークと異なり、情報全般のセキュリティが求められます。セキュリティの語源は「気配り」だと言われています。情報への気配りとは、情報の機密性を担保するだけでなく、正確でタイムリーに情報を提供することも含まれます。帝国データバンクNCでは、情報への気配りを大切にしながら、お客様の情報セキュリティマネジメントシステム(ISMS)の構築をご支援いたします。

ISO27001取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、ISO27001の維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、帝国データバンクNCにお任せください。

2000年創業以来、大小1,000件以上という認証取得コンサルティング業界の中でも数多くの実績を積んでまいりました。ISO27001認証取得を通じて、日本全国のお客様の「次業(Next Stage)」づくりをお手伝いいたします。


資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。