ISO27001(ISMS)取得の流れ | ISO取得支援専門コンサルティング

まずコンサルティングに入る前に貴社の現状の、セキュリティ設備、意識、機能等をチェックします。この結果を基に、当社講師が、活動スケジュールを組み立てます。これと同時に、貴社には、「キックオフ宣言」も行なって頂き、情報漏洩に対する脅威を全社員に意識させていきます。活動の意義を全社員に宣言し浸透させる事がスムーズな取得活動に直結します。

「ISO 27001」についての説明、取り組み方法を指導し、適用範囲や、組織体系等、基本構想を策定していきます。次に「事業の特徴、組織、所在地、技術の観点から情報セキュリティ基本方針を策定します。

貴社が現在保有している「情報資産」をリストアップしていただきます。ここでのポイントは、この時に会社として重要な情報は何か、業務上重要な資産は何かを作業時間やコストから見て抽出することです。

情報資産をリストアップしたら、適応範囲の中の資産およびそれらの所有者、資産に対する脅威、脆弱性、資産に与える影響を考慮し、リスクを識別します。リスクを識別することは、リスク評価をする場合、保有情報や保有資産、また、どのような脅威が起こりえて、それに対し、どのような脆弱性が考えられるのか、会社がどのような影響を受ける可能性があるのかを明確にするのに役立ちます。この作業を確実に行うことによって、リスクアセスメントを適切に効率的に行うことができるようになります。

守るべき情報資産と特定された情報資産に対する価値、脅威、脆弱性の評価を行い、詳細にリスクを評価します。価値評価をする指数として、もっとも望ましい形である「金額」で表現することによって、リスク対策の費用対効果を明示することができるようになります。ここでの脅威の評価とは、資産に対して負の影響が起こる物事や象徴のことであり、脆弱性の評価とは、脅威に対する現状の管理体制を評価することを指します。

資産価値、脅威、脆弱性からリスク値を算出します。五段階評価など、誰が見ても分かるように、リスクレベルを定義付けることが求められます。また、脅威が発生した場合、組織に与える悪影響の度合いで評価する場合もあります。企業が保護すべき情報資産について、情報の機密性、完全性、可用性をバランスよく維持し、改善していくことが重要なポイントとなります。

これまでの活動で、対策が必要と考えられるリスクが多数浮き彫りになってきます。それに対し、リスク対応の為、軽減、受容、回避、移転などの管理策を選択、それぞれのリスクについて、組織にとってメリットのある詳細管理策を選択します。管理策は、選択した内容、選択しなかった理由を適用宣言書にまとめます。

具体的な課題が見えてきたら、事業継続上、優先順位の高いリスクから対策を実地していきます。対策内容は、可能な限り具体的にして、リスク対応計画を作成していきます。計画の進捗・対応・結果などを管理し、確実に社内で導入していくことが重要です。

規格要求事項にのっとったマニュアル・手順書などを当社がオーダーメイドで作成します。文書を作成する際には、必要最低限の文書量に抑えることが、成功の最大のポイントです。また同時に、各種記録のフォーム作成支援も行います。

これより、実地展開がスタートします。（実地前に２週間ほどの準備期間を設けます。）ここでは、導入した仕組みを安定して運用していくことができるようなコンサルティングに重点をおきます。トップセミナー

ISO 27001 導入後には、定められたルールが運用されているか、確認する為の内部監査員を育成いたします。

策定したルールが有効に機能しているか、定期的に実施されているか、効果は？などを当社講師が内部監査に実際に立会い、側面から貴社にマッチしたような適切なアドバイスを行います。

本審査に向け、当社講師が現実に即した審査を実施します。

審査登録機関によって、実地審査（本審査）が行われます。

審査により指摘された「不適合」に対する是正処置