ISMS認証の取得を検討しても、いざ調べてみると「やることが多すぎて、自社には無理だ……」と断念してしまう企業は少なくありません。
「経営層から自社での取得(内製化)を指示された」といった状況にある方も多いのではないでしょうか。その場合、担当者様がISMSを一から学び、プロジェクトを牽引していく必要があります。
そのため、本記事ではISMS(情報セキュリティマネジメントシステム)の要件を満たし、取得するまでに対応するべき「19のやること」をご紹介します。
また、ISMSの全体像や基礎知識を改めて確認したい方は、まずはこちらの解説記事「ISMS認証とは?Pマークとの違いや取得までの流れ・メリット・費用を解説!」をご一読ください。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得において検討するべき事項から審査を受けて認証取得に至るまでを23項目のTodoリストにいたしました。ぜひ本記事とあわせてご活用ください。
ISMSの要件(要求事項と管理策)とは?
ISMSを取得するためには、国際規格である「ISO/IEC 27001」で定められた「要件」を満たす必要があります。この要件は大きく分けて以下の2つで構成されています。
- 要求事項(ISO/IEC 27001:2022の箇条4〜10):ISMS認証を取得するための「土台」となる必須条件です。対応が漏れると認証を取得できないため、確実に理解し、体制に組み込む必要があります。
- 管理策(付属書Aの4カテゴリー):セキュリティ向上のための具体的な「手段」です。すべての項目を実施する必要はなく、「管理策の適用/除外を検討し、その理由を文書化(適用宣言書)すること」し、自社のリスクや状況に応じて必要なものを取捨選択して適用します。
これらの要件を具体的なタスクに落とし込み、「19のアクション」として整理しました。これから紹介するステップを一つずつ着実に進めていきましょう。
ISMS取得に向けて対応しなければならない19のやること
主要フェーズ
審査通過までに必要な準備は、大きく以下の「5つの主要フェーズ」に集約されます。これらは、組織が国際基準に適合したセキュリティ体制を築くための骨子となるステップです。
- 規格要求事項(ISO/IEC 27001)の理解
- ISMS推進体制の確立
- 構築手法の検討および決定
- ISMSの構築と実際の運用
- 内部監査の実施と経営層による見直し(マネジメントレビュー)
認証取得を達成する「19のアクション」
5つの主要フェーズだけではイメージが湧きにくいかもしれません。そこで、これらをより実務的なレベルに分解した「19のアクション」をご紹介します。このステップを一つずつ着実にクリアしていけば、ISMS認証取得への道筋が明確になります。
- スケジュールの決定:いつまでに取得するかゴールを決める
- 規格内容の理解:ISMSの要求事項を把握する
- 役割の決定:管理責任者や事務局を決定する
- 情報セキュリティ目標の設定:組織として目指す姿を定める
- 認証取得範囲の決定:どの部署・拠点を対象とするか決める
- 審査機関の選定:審査を依頼するパートナーを決める
- 情報セキュリティ方針の策定:全社的な指針を作る
- 情報資産の洗い出し:守るべきデータを特定する
- リスクアセスメント:脅威と脆弱性を評価し対策を練る
- 法令の特定:遵守すべき法律(個人情報保護法など)を整理する
- 各種文書の作成:規程類やマニュアルを整備する
- 委託先の管理:外部ベンダーの安全性を評価する
- 従業員教育の実施:全社員にルールを周知徹底する
- 情報セキュリティ継続:緊急時の対応や継続性を計画する
- 内部監査の実施:自社で運用の不備をチェックする
- マネジメントレビュー:経営層による最終見直しを行う
- 第1段階審査:文書を中心とした事前審査を受ける
- 第2段階審査:運用の実態を確認する本審査を受ける
- 次年度スケジュールの策定:取得後の継続的な運用に備える
以下より、各アクションについて一つひとつ解説していきます。
スケジュールの決定
ISMSでは、体制構築に向けたスケジュールを文書化することが求められています。これは単なる形式的な書類ではなく、取得までの道のりを示す「プロジェクト管理表」としての役割を果たします。
具体的には、認証取得までに必要なタスクを時系列で並べ、進捗状況を一目で把握できるようにします。完了した項目をチェックしたり、塗りつぶしたりして視覚的に管理することで、事務局の工数管理や社内報告が格段にスムーズになります。
LRMでは、検討段階から審査当日までの一連の流れを網羅した「23項目のToDoリスト」を作成いたしました。無料でダウンロードいただけますので、認証取得にぜひお役立てください。
規格内容の理解
まずは、ISMSのルールブックである「規格」に何が書かれているかを確認しましょう。 世界共通の国際規格は「ISO/IEC 27001」ですが、これは英語で記述されています。そのため、国内で取り組む際は、その翻訳版である日本産業規格「JIS Q 27001」を参照するのが一般的です。
これらの規格票は、日本規格協会(JSA)のWebサイトから購入可能です。まずはこれらを手元に置くことが、ISMS取得に向けた実質的なスタートラインとなります。
規格は、本文と附属書Aに分かれています。
役割の決定
ISMSを効率的に運用し、組織全体に浸透させるためには、適切な役割分担が欠かせません。一般的には、以下のような役割を定めます。
- トップマネジメント(経営層): 組織の経営層が務めます。情報セキュリティの方向性を決定し、必要なリソース(予算・人員)を提供する最終決定権者です。
- 情報セキュリティ管理者(管理責任者): ISMSの構築・運用を統括します。現場の状況を把握しつつ、経営層へ報告・提案を行う橋渡し役が適任です。
- 情報セキュリティ担当者(推進事務局): 管理者の指示のもと、具体的なルールの周知や文書作成、現場への浸透をサポートする実行部隊です。
- システム管理者: ITインフラやネットワークのセキュリティ設定、運用に責任を持つ技術的な責任者です。
- 内部監査員: マネジメントシステムがルール通りに運用されているかを、客観的な視点でチェックする役割です。
「トップマネジメント」「情報セキュリティ管理者」「内部監査員」の3つは規格上、必ず設ける必要があります。それ以外の役割は、組織の規模や業務実態に合わせて柔軟に設定してください。
情報セキュリティ目標の設定
SMS認証の取得にあたっては、組織として達成すべき「情報セキュリティ目標」を具体的に定める必要があります。
- 初年度:基盤構築を目標とする
初めて取り組む際は、まずは体制を整えることが最優先です。そのため、「年度内にセキュリティルールを文書化し、全社公開する」「従業員教育の受講率100%を達成する」といった、基盤作りに関する目標を掲げる企業が多く見られます。 - 2年目以降:運用の高度化と改善
認証取得後は、初年度の運用実績や内部監査での反省を反映させた目標へとシフトします。「インシデントの発生件数を前年比〇%削減する」「リスクアセスメントで見つかった課題の改善率を高める」など、より実務に踏み込んだ、継続的改善に繋がる目標を設定するのが一般的です。
認証取得範囲の決定
国内で主要なセキュリティ認証にはISMSとPマーク(プライバシーマーク)がありますが、両者の大きな違いの一つに「取得範囲の柔軟性」があります。
Pマークは原則として「全社」での取得が必須であり、範囲を限定することはできません。一方、ISMSは組織の実態に合わせて取得範囲を自由に設定することが可能です。
検討すべき切り口:
- 場所: どの事業所(オフィス)を対象にするか
- 組織: どの部署、あるいはグループ会社を含めるか
- 業務: どの事業・サービスを対象にするか
設定のバリエーション:
「全社一括」はもちろん、「システム開発部門のみ」「東京本社のみ」「特定のSaaS事業に関わるチームのみ」といったスモールスタートも可能です。
取得範囲が広がるほど、審査費用やコンサルティング費用、そして現場の対応工数は増大します。「まずは全社で」と広げすぎず、まずはリスクの高い重要部署から着手し、運用が定着してから徐々に範囲を拡大していくアプローチが、コストや時間を最適化する賢い選択といえます。
自社に最適な取得範囲や、そもそも自社単独で取得できるか不安な場合は、外部に相談するのも有効な手段です。LRMでは、ISMS/ISO27001認証取得コンサルティングを行っております。お気軽にご相談ください。
年間580社※・19年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
審査機関の決定
ISMSの審査を行う機関は国内に数多く存在します。各機関によって特色が異なるため、以下の観点から自社の希望にマッチする組織を慎重に選びましょう。
選定の主要な判断基準:
- 審査員の質・実績: 自社と同じ業界や規模の審査実績が豊富か。
- 費用: 初年度の審査料だけでなく、3年間の維持・更新費用を含めた総額か。
- スケジュール: 自社が希望する時期に審査が可能か。
- アドオン認証への対応: 将来的にISO/IEC 27017(クラウドセキュリティ)などの追加認証を検討している場合、その審査に対応しているか。
将来的な拡張性を見据えて選定することで、後から審査機関を変更する手間やコストを抑えることができます。もしコンサルタントと契約している場合は、自社の社風や業界に合った「おすすめの審査機関」をヒアリングしてみるのも有効な手段です。
情報セキュリティ方針の作成
企業の経営に「経営理念」があるように、ISMSの構築・運用においても軸となる指針が必要です。それが「情報セキュリティ方針」です。
これは、自社のISMSにおける目的や方向性、そして情報セキュリティに対するトップマネジメント(経営層)の考え方やコミットメントを明文化した文書です。
含まれる主な内容:
- 情報セキュリティに関する組織の目的
- 法令・規制、および契約上の要求事項の遵守
- 継続的な改善に対する経営層の強い意思
- リスク評価の基本的な考え方
この方針が定まることで、現場の従業員一人ひとりが「自社が何を守り、どのような姿勢で情報を取り扱うべきか」を正しく理解し、行動できるようになります。
情報資産の洗い出し
自社の情報を守るためには、まず「自社がどのような情報を保有しているのか」を正確に把握しなければなりません。
一般的には、部署ごとに業務で取り扱う情報をExcelなどのリストへ書き出していく手法がとられます。しかし、この作業を各部署に任せきりにすると、情報資産管理台帳の内容がバラバラになってしまうリスクがあります。
洗い出しの粒度もフォルダ単位でまとめるのか、ファイル単位で細かく書くのか、対象範囲も紙媒体、電子データ、バックアップ、あるいは顧客から預かった情報まで含めるのか、どのフォーマットを使用するかなど、事前のルール作りと共有を怠ると、後のリスクアセスメントで整合性が取れなくなるため、事務局がしっかりとガイドラインを示すことが重要です。
リスクアセスメント
リスクアセスメントとは、認証範囲内に存在するあらゆる情報セキュリティのリスクを「特定・分析・評価」する一連のプロセスです。これまでのステップで洗い出した情報資産に対し、「どのようなリスクが潜んでいるか」を洗い出し、それぞれの影響度や発生可能性を評価します。
また、リスクアセスメントは現状の業務フローを徹底的に見直す工程が含まれるため、業務の無駄や非効率なプロセス、潜在的なミスを浮き彫りにする絶好の機会でもあります。情報セキュリティの強化とともに、組織全体の業務品質や生産性を向上させるチャンスとして捉え、取り組むことが重要です。
リスクアセスメントの具体的な進め方や改善方法については、以下の記事「【事例付】ISMSリスクアセスメントとは?手順・評価方法・リスク値の計算式を解説」で詳細に解説していますので合わせてご参照ください。
ISMSのリスク分析において、最も一般的な手法は「情報資産ベース」の分析です。これは洗い出した資産一つひとつに対してリスクを検討する方法ですが、一方で実務との繋がりが見えにくいという側面もあります。
業務フローベースのリスク分析は、実務の流れに紐付いているため、担当者の交代や業務プロセスの変更があった際も、どこを修正すべきかが一目でわかります。「属人化を防ぎ、メンテナンスが容易である」という点は、長期的な運用において大きなメリットとなります。
ISMSには唯一の正解はありません。自社のリソースや担当者の習熟度を考慮し、「最後まで無理なく回し続けられるアプローチ」を選択することが、重要となります。
法令の特定
ISMSでは、組織が遵守すべき「法的および契約上の要求事項」を明確にすることが求められます。改正個人情報保護法への対応、AI関連の規制・ガイドラインとの補完など、常に最新の改正情報を反映させる必要があります。
定期的に法改正の有無を確認し、必要に応じて社内の管理規定や運用ルールをアップデートするサイクルを構築しましょう。
委託先の管理
ISMSにおける「委託先」とは、自社の重要な情報を預けたり、情報資産にアクセスする権限を与えたりしている外部組織(クラウドサービス、BPO、保守ベンダーなど)を指します。そして「委託先管理」とは、これらの組織を網羅的に洗い出し、自社の情報を託すに足る安全性を備えているかを客観的に評価・判断することです。
近年、委託先を起点とした情報漏えい事件が多発していることから、外部審査においても「委託先管理」の実効性は非常に厳しくチェックされるポイントです。
万一、委託先で情報漏えいが発生した場合、法律上および社会的な「監督責任」は委託元である自社に帰属します。そのため、選定時にはセキュリティ対策状況を把握し、必要に応じて「セキュリティ教育の実施」「実地監査」などの措置を講じなければなりません。
また、評価は一度きりではなく、定期的な見直しが必要です。委託先の体制変化や、自社の求めるセキュリティ基準のアップデートに合わせ、常に最新の状況で再評価するサイクルを確立しましょう。
従業員への情報セキュリティ教育
ISMSの規格では、システムに関わるすべての人に対し、「業務に必要な能力を定義し、教育や訓練、経験を通じてその能力を確実に身に付けさせること」が義務付けられています。
具体的に求められる能力の例:
- セキュリティリテラシー: インシデントを未然に防ぎ、機密情報を守るための基礎知識。
- 専門的知識・技能: ISMS体制を維持・改善し、適切に運用するための実務能力。
これらを習得・確認する手段として、eラーニングの受講や社内セミナー後の理解度テストなどが一般的です。外部審査では、教育が適切に行われたことを証明する「教育実施記録」の提示を求められます。受講名簿やテスト結果などのエビデンスは、漏れなく保管・管理しておきましょう。
LRMでは、eラーニングをはじめとした教育サービス「セキュリオ」を提供しています。クラウドサービスなのですぐに導入可能です。教育コンテンツも随時更新されるため、最新のセキュリティ知識・スキルの習得にお役立ていただけます。7日間無料でのトライアルもありますので、ぜひ一度お試しください。
情報セキュリティ継続
大規模災害やシステム障害、重大なセキュリティ事故などの緊急事態に備え、事業を継続するための「情報セキュリティ継続計画」を策定します。
単に計画を作るだけでなく、その実効性を検証するために、以下のような訓練(テスト)の実施と記録が求められます。
- 避難訓練: 物理的な災害発生時の安全確保と連絡体制の確認。
- システム復旧訓練: サーバーダウンやランサムウェア被害を想定した、バックアップからの復旧手順の確認。
訓練を通じて計画の不備や課題を洗い出し、必要に応じて手順書を修正することで、いかなる状況下でも組織の信頼を守れる体制を維持します。
内部監査
「内部監査」は、PDCAサイクルにおける「Check(確認)」の工程です。
「構築したルールが規格(ISO/IEC 27001)の要求事項を満たしているか」「決めたルール通りに日々の業務が行われているか」の2点を客観的に確認します。
以下の4つのステップで進めていきます。
内部監査員の選定
監査の基本は「客観性」と「公正性」です。そのため、「自分の所属する部署やチームを自分で監査することはできない」というルールがあります。社内に適任者がいない場合は、外部のコンサルタントなどに委託することも可能です。
監査チェックリストの作成
効率的かつ漏れのない監査を行うため、「監査チェックリスト」を用意しましょう。事前に確認項目をリスト化しておくことで、監査の観点がブレず、実施後のエビデンスとしても活用できます。
内部監査の実施
チェックリストに基づき、現場へのヒアリングや証拠書類(ログ、承認印、記録簿など)の確認を行います。
報告書作成の作成
監査の結果、発見された「不適合」や「改善の機会」を報告書にまとめます。
マネジメントレビュー
内部監査が終わったら、その結果を経営層に報告し、ISMS全体の「見直し」を行います。これが「マネジメントレビュー」です。
なぜマネジメントレビューが必要か
ISMSが単なる「形だけのルール」になっていないか、組織の目標達成に本当に役立っているかを、トップマネジメント(経営層)が最終判断するためです。審査では、経営層がどの程度ISMSに関与しているかが厳しくチェックされます。
報告(インプット)と指示(アウトプット)
マネジメントレビューでは、以下の流れを文書化して記録に残す必要があります。
- インプット(経営層への報告内容):
- 内部監査の結果
- 情報セキュリティ目標の達成状況
- インシデントの発生状況や対応結果
- 前回までの見直しに対する改善状況
- アウトプット(経営層からの指示・決定):
- ISMSの継続的な適切性、妥当性、有効性に関する結論
- リソース(予算、人員、設備)の追加や変更の指示
- 改善の機会や、仕組み自体の修正に関する決定
ISMSの構築・運用では、トップマネジメントが積極的に関わることが求められますので、この工程は欠かせません。
審査(第1段階審査・第2段階審査)
いよいよ認証取得に向けた最終関門、「外部審査」のステップです。審査機関とのやり取りから合格後の流れまで、担当者がイメージを具体的に持てるよう整えました。
第1段階審査(文書審査)
審査の数週間前になると、認証機関から「審査計画書(アジェンダ)」が送付されます。当日はこの計画書に沿って審査が進められます。
最初のステップである「第1段階審査」は、マニュアルや規定類が国際規格(ISO/IEC 27001)に適合しているかを確認する文書審査が中心です。
- 目的: 第2段階審査(本審査)に進める準備が整っているかを判断します。
- 審査のポイント: PDCAサイクルの「P(計画)」が重点的にチェックされます。
- 必須項目: 「適用範囲」「情報セキュリティ方針」「リスクアセスメント・報告書」などがそろっていない場合、大きな指摘事項となるため注意が必要です。
第2段階審査(実地審査)
第1段階をクリアすると、次はいよいよ実地審査となる第2段階審査です。ここでは、構築したISMSが現場で実際に運用され、有効に機能しているかが厳しく問われます。
- 目的: ルールが形骸化せず、組織に定着しているかを確認します。
- 審査のポイント: PDCAサイクルの「D(運用)」「C(評価)」「A(改善)」がチェックされます。
- チェック内容: 審査員がオフィスや現場を確認し、従業員へのインタビューを行います。以下は一例となります。
- パスワード管理は適切か?
- クリアデスク(離席時の書類放置禁止)は徹底されているか?
- パソコンの画面ロックや、重要資産の保管状況はどうか?
審査については、以下の記事「ISMS取得スケジュールとは?審査の詳しい内容とともに解説」でさらに詳しく解説していますので、そちらも合わせて参考にしてください。
次年度のスケジュール決定
第2段階審査の完了から約1ヶ月後、審査機関から正式に「ISMS認証書」が発行されます。これで対外的にも「国際基準のセキュリティ体制を持つ企業」として認められたことになります。
無事に取得が完了したら、次年度の運用スケジュールを決定しましょう。
おわりに
ここまで、ISMS取得時に対応しなければならない19のステップを挙げてきました。ISMS認証は比較的柔軟な制度のため、無理のない自社に合ったルールを構築していくことがポイントです。
しかし、これらすべてを通常業務と並行して担当者だけで進めるのは非常に工数がかかります。効率的かつ確実に取得を目指すのであれば、専門家のサポートを受けることを強くおすすめします。
LRMでは、ISMS/ISO27001認証取得コンサルティングを行っております。また、セキュリティ教育クラウド「セキュリオ」で、取得後の効率的な運用も支援可能です。ISMS認証取得をご検討されている方や、要件への対応にお悩みの方は、ぜひお気軽にご相談ください。
年間580社※・19年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
