ISO27001は、何をしたら認証取得できますか?
Q. ISO27001は、何をしたら認証取得できますか?
ISO27001の規格要求事項に沿ってISMS(情報セキュリティマネジメントシステム)を構築し運用されていること、 が前提となり、認証審査「第一段階審査(文書審査)」「第二段階審査(実地審査)」をクリアすれば認証取得となります。
ISO27001の規格要求事項とは
規格とは、ISO27001の審査で問われる要求事項の集まりです。
要求事項とは、例えば「方針を立てなさい」「内部監査を行いなさい」などの要求のことをいい、審査で問われます。
※ 規格は、日本規格協会のホームページより購入することができます。
なお、誤解されがちですが、規格にはパフォーマンスの基準は定められていません。
例えば、「ウィルス感染をゼロにしなさい」「メール送信ミスをゼロにしなさい」といった内容は定められていないということです。
規格で要求しているのは、
- ISMSを構築すること
- ISMSを運用すること
の2点だけです。
また、ISMSにはパフォーマンスの指標もありませんので、ISMSが要求に沿って構築され、それが運用されていれば審査的にはOKということになり、事故を起こしたから認証をはく奪するというわけではないということです。
ただし、事故を起こしたにも関わらずそれを放置している場合などは不適合となり得ます。これは、事故対応のルールがISMS上で定められているにも限らず運用されていないということになるからです。
ISO27001取得の流れ
ISO27001を取得するためには、取り組みの順序が厳密に定められているわけではありませんが、一般的には以下のような流れになることが多いです。
1 現状の把握
組織が抱えている課題や利害関係者からのニーズを把握します。
2 適用範囲の決定
1をふまえてISMSを適用する範囲を決定します。
3 方針の決定
情報セキュリティ分野での取組方針を策定します。
4 現状の把握2
組織が保有している資産を把握します。なお、規格要求ではありませんが、この段階で業務プロセスを洗い出す組織もあります。このあたりのアプローチは様々です。
5 リスクアセスメント
リスクや機会を特定、評価したうえで対応を検討します。
6 リスク対応計画の策定、目標設定
リスク対応検討結果をふまえてリスク対応計画を策定し、計画の遂行を開始します。
また、リスクアセスメント結果をふまえて、目標を設定します。
7 文書類の作成
必須文書を作成します。また、リスクアセスメントの結果等から作成すべき文書を検討し、作成します。
この中で、各種規程や記録の様式を作成することになり、ISMSの形となります。
8 周知、運用開始
構築されたISMSの内容を周知し、運用を開始します。運用の中で、様々な記録を取得していくことになります。
代表的な運用イベントとしては、
- 教育
- 内部監査
- マネジメントレビュー
などがあります。
なお、一般的には第2段階審査までに3ヶ月程度の運用期間を要求されます。
9 審査申請
通常は、審査を受審したい時期の3~4カ月前に審査機関に審査申請することになります。
10 審査受審
2段階審査を受審し、不適合の指摘があれば是正し、報告する必要があります。
以上で、少なくとも半年以上はかかる活動になります。
より詳しい資料の提供や、訪問してご説明することも行っておりますので、お気軽にお問い合わせください。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00