ISMS認証取得コンサルティングの流れ(シンプルコースの場合)

LRMのISMS認証取得コンサルティングにはいくつかのコースがありますが、最も一般的なシンプルコースをご選択いただいた場合、一般的に下記内容で認証取得が可能となっております。

取組期間 平均6ヶ月
打ち合わせ回数 平均8回
※各お打ち合わせごとに1時間半~2時間ほどお時間をいただきます

※実際には、企業規模や取り組みの方法、社会情勢によって変動しますので、あくまで平均的な数字です。

なお、コンサルティングの流れとしては、おおむね下記になります。

以下では、コンサルティングの流れについて詳しくご説明していきます。

※こちらはあくまでシンプルコースの内容を記載しています。その他のコース(スタンダードコースなど)については別途お問い合わせください。

1.初回訪問

ご挨拶

LRMでは、お客様のご希望に応じて、商談の段階でコンサルタントがお客様のもとにお顔合わせをおこなうこともありますが、この初回訪問で初めてコンサルタントとお客様がお顔合わせとなることも多々あります。そのため、まずは名刺交換や自己紹介をして、ご挨拶とアイスブレイクをおこないます。

認証取得の目的・経緯の確認

すでに営業担当が聞いている場合もありますが、改めてISMSの認証取得を目指すことになったきっかけを確認し、お客様とコンサルタントのあいだで認識に齟齬がないか、確認をおこないます。

「情報セキュリティ関連の第三者認証取得が入札の要件となっているため」や「しっかりとした情報セキュリティ体制をしたいため」など、お客様によって認証取得に至った経緯は本当に様々です。

ここで確認した内容は、ISMS適用範囲の決定や今後のお取組を進めていく際の指針となりますので、とても大切な工程です。

LRMのコンサルティングの体制の説明、お取組で使用するツールの確認・説明

商談時に営業担当からも軽く説明はおこないますが、改めてLRMのコンサルティングの方法や流れをご説明します。

特にLRMのコンサルティングでは、クラウドストレージ(box、GoogleDriveなど)やメーリングリスト、チャットツール(Chatwork、slackなど)を活用しますので、「どのツールを利用するのか?」「どのツールでどういったことをするのか?」といったことを確認します。

ISMSについてスライド資料を用いた説明

LRMが用意したスライドを使って、コンサルタントがISMSについての説明をおこないます。

ISMSのことを全くご存知でない方でも、この説明を聞くことでISMSの概要を理解できます。ISMSについてすでによくご存知のお客様の場合、この工程を飛ばすこともあります。

認証取得に向けたスケジュールの確認

コンサルタントがお取組のスケジュール感や大まかな流れの説明をおこないます。

お客様のもとで「この日までに認証を取得したい」「この期間はほかの業務が忙しくなるので、少し間を空けたい」などのご要望があれば、コンサルタントにご相談ください。

スケジュール感が決まったら、LRMが用意した「年間実施項目管理表」(ISMS認証取得に向けたToDoを管理する資料)をもとに、いつ頃までにどういったToDoをこなしていくのか、具体的に決定していきます。

適用範囲(認証を取得する範囲)の決定

ISMSの認証取得は法人単位である必要はなく、部署単位や事業単位など、任意の範囲で認証取得できます。そのため、まずはISMSのルールが適用される範囲を決めます。

ほとんどの場合、どの範囲で取得するかはこの時点ですでに決まっている場合が多いですので、実際には確認となることが多いです。(もしこの段階で決まっていない場合は、コンサルタントにご相談ください)

認証範囲が決まれば、実際にその範囲の組織が行っている事業について、コンサルタントが詳しいお話を聞いていきます。

ISMS推進体制の確立

トップマネジメント、情報セキュリティ管理者、情報セキュリティ担当者、内部監査員など、ISMSを運用していく上で必要となる各役割を誰が担うのかを決めていきます。(役割名や権限については任意に設定できます)

「情報資産管理台帳」の作成方法の説明

組織の情報資産を特定するために、「情報資産管理台帳」に情報資産を記載して一覧化します。こちらはお客様に作成して頂くので、記載の方法について説明します。(約3か月かけて作成して頂くことを想定しています)

2回目以降のお打合せの際などに進捗状況を確認しますので、それまでにできる範囲でお客様のもとで対応していただきます。(いわゆる宿題のようなものです)

審査機関の確認

ISMS認証を取得するには、審査を受ける必要があります。そのため、お願いする審査機関を決めなければなりません。この段階でまだ決まっていなければ、LRMオススメの審査機関をご紹介します。(LRMがお客様の代わりにオススメの審査機関に対して概算見積もり依頼することも可能です)

最後に、コンサルタントが全体を通しての質問がないかを確認します。また、ToDoをチェックしたり、可能であれば次回のお打ち合わせの日程調整をしたりします。

なお、次の打ち合わせはリスクアセスメントとなり、各部署の担当者に出席してもらいたいため、その場で日程調整が困難なときもあります。その場合は、改めてメール等で日程調整をしていきます。

2.リスクアセスメント

リスクアセスメントとは?

  • 情報セキュリティ上のリスクを洗い出す
  • 必要に応じて対応策(リスクを低減するための手段)を検討する

という一連の流れを「リスクアセスメント」と呼びます。

リスクアセスメントの手法は様々あるのですが、LRMのISMS認証取得コンサルティング(シンプルコース)では、主に「業務フローベースのリスクアセスメント」を実施します。

主に2回目のお打ち合わせから、このリスクアセスメントに取り組んでいくことになります。各部署30分程度ずつお時間をいただいて業務の流れをヒヤリングしていき、その中でリスクの洗い出し、対応策の検討を実施していくことが多いです。

リスクアセスメントの具体的な流れ

LRMのリスクアセスメントは、下記の流れで実施していきます。

  • 業務フローに沿ったリスクの洗い出し
  • リスクごとに現状の対応策を洗い出し
  • 追加の対応策を検討

業務フローに沿ったリスクの洗い出し

  • 情報セキュリティの3つの要素である機密性・完全性・可用性の喪失(情報が「漏れる・間違える・使えなくなる」ことに繋がるものはないか)
  • マネジメントシステム規格で求められている契約・法令等の要求事項への順守(「契約や法令等への違反」となるものはないか)

リスクを上記の観点で洗い出します。こう書くと難しいですが、簡単に言うと「業務をおこなう上で起こったら困ること」をセキュリティや法律の観点から洗い出していくイメージです。

例)営業部の見積もり送付フローに関するリスク

見積もりを作成する
  • 誤って見積もり内に他社の会社名を記載する
  • 見積もりの金額に齟齬がある
メールを作成する
  • 宛先を間違える
  • 宛名を間違える
メールに見積もりを添付する
  • 誤って他社用に作成した見積もりを添付する

リスクごとに現状の対応策を洗い出し

リスクの洗い出しが終わったら、洗い出されたリスクに対して現在行っている対応策を洗い出していきます。(現在特に対応していない場合は、「対応なし」でもOK)

例)営業部の見積もり送付フローに関するリスクの対応策

見積もりの金額に齟齬がある
  • 見積もり作成後、第三者によるダブルチェックを実施
  • 見積もり作成画面で、金額に間違いがないか確認を促すポップアップを表示
宛先を間違える
  • メール送信後に5分間メール送信を停止できるサービスを利用
  • 宛先は必ずCRMに登録し、CRMのサジェストを活用
  • メール送信前にダブルチェックを実施

追加の対応策を検討

リスクと対応策の洗い出しが完了したら、次はそれぞれのリスクと対応策を評価していきます。どういうことかというと、

  • 事故が発生したときの影響度
  • 対応策を実施していても事故が発生する確率

といった観点からリスクの大きさを数値化していくのです。

自社が受容できるリスクの大きさを設定し、その基準値を超えたものについては、「追加の対策をする」か「リスクを受容する」かの判断をおこないます。基準値を超えなかったものについては、必要に応じて対策を検討します。

リスクの洗い出し、対応策の洗い出し、追加する対策策の検討という一連の作業が終わったら、それらを一覧化したものをリスク所有者(リスクに対して責任を負う者)に確認してもらい、承認してもらう必要があります。

3.文書読合せ

文書のイメージ図

リスクアセスメントが終わったら、次はISMSに関するマニュアルの作成をしていきます。LRMのISMS認証取得コンサルティング(シンプルコース)では、3つのマニュアルが存在します。

  • セキュリティハンドブック
  • 情報セキュリティマニュアル
  • MSマニュアル

多くの場合、3回のお打ち合わせで「セキュリティハンドブック」→「情報セキュリティマニュアル」→「MSマニュアル」といった順番で作成していきますが、順番や1回のお打合せでどこまで進めるかはその時々の状況により異なります。

セキュリティハンドブック

「情報セキュリティマニュアル」と「セキュリティハンドブック」では、JIS Q27001附属書Aの管理策を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めます。

特に「セキュリティハンドブック」には、ISMSが適用される全従業員向けのルールを書いていきます。

ルールの例
  • 機密情報および社外秘情報は、適切なアクセス権を設定した共有フォルダで保管する。
  • パスワード付きのスクリーンセーバーが10分以内に起動するよう設定する。
  • パスワードの文字列は、8ケタ以上とする。

会社ごとにどのようなルールが適切か異なりますので、お打合せの中でどのようなルールにしたいか確認しながら作成していきます。LRMでは規格の管理策(JIS Q27001附属書A)の項目を具体的なルールに落とし込んだセキュリティハンドブックのひな形を用意していますので、それをもとにお客様の実態、希望に沿うかたちで修正していきます。

情報セキュリティマニュアル

「情報セキュリティマニュアル」も上述のとおり、JIS Q27001附属書Aの管理策をはじめとした、情報セキュリティに関して従業員が守るべき具体的なルールについて定めるものです。

「情報セキュリティマニュアル」には、人事やシステム開発・運用など、特定の業務についてそれぞれの担当者向けのルールを書いていきます。

※ルールの例

委託先の管理に関して
  • 新しい事業者を供給者として選定する場合は、情報セキュリティ管理者は、以下に定める選定の基準に従い、情報セキュリティのレベルを調査する。
  • 調査結果を基に、情報セキュリティ管理者は、アクセスを可能にする情報資産の重要度を鑑み、委託先として適切か否かを判断し、その結果を「委託先管理台帳」に追加する。
人事に関して
  • 不採用者の履歴書等の情報は、本人へ返却するか、一定期間経過後にシュレッダーで廃棄する。
  • 人事担当者は、「入社退職時チェックリスト」を作成し、もれなく入社時手続きを実施する。手続きには、入社時教育の実施、誓約書の取得を含める。
開発に関して
  • 情報セキュリティに関する要件を含んだ、開発方針を作成する。
  • 入力したパスワード文字列が、ログに出力されないよう、十分に注意する。

こちらも会社ごとにどのようなルールが適切か異なりますので、お打合せの中でどのようなルールにしたいか確認しながら作成していきますが、LRMで規格の管理策(JIS Q27001附属書A)の項目を具体的なルールに落とし込んだひな形を用意していますので、それをもとにお客様の実態、希望に沿うかたちで修正していきます。

MSマニュアル

「MSマニュアル」は、主にJIS Q27001本文の内容について定めるものです。ISMSのPDCAをまわすために実施する取り組みについて、規格上やらなければならないことをルール化してマニュアルに落とし込んでいきます。

MSマニュアルは上記2つと比べると、そこまで会社によって内容が大きく変化するものではありません。
お打ち合わせでは各項目の内容をコンサルとお客様のあいだでLRMが用意したひな形を一緒に確認し、より具体的な内容を記載していく流れになります。

上記のように自社に合った文書(ルール)を作成していく中で、例えば「委託先管理表というファイルを作成して、委託先はそのファイル内で管理していく」というルールを設けた場合、ルールのとおり委託先管理表を作成して、表に委託先を記載していく、といった対応が必要となります。

また、従業員教育や関連法令の管理についてもルールを作成することになりますので、そのルールに沿った対応を実施していきます。

4.内部監査(事務局)

文書(ルール)の作成が終われば、次はISMSに関して作成した各種文書の記載が規格に沿っているかを確認していきます。(「規格のこの部分について、御社のマニュアルではどこに定めていますか」など)

「情報資産管理台帳」や「リスク管理表」など、ISMSのマニュアルの中で作成することをルールとした各種記録類やフォーマット類がきちんと作られているか確認します。

基本的には第一段階審査で聞かれることと同じことを聞いていきますので、審査の予行練習というイメージを持っていただけたらと思います。(ヒヤリングの時間は審査よりも短いので審査のダイジェスト版というイメージです)

5.第一段階審査

ISMSの認証を取得するために、第三者機関から審査を受けます。
審査は2回に分かれており、1回目の審査は規格に沿ったルールを構築しているかが主に確認されます。これまでISMSの構築に主立って取り組まれた事務局の担当者の方に受け答えしていきます。

例)
  • (審査員)「内部および外部の課題をどこで特定していますか?」
  • (担当者)「MSマニュアルの1.1で特定しています」

審査時は基本的に事務局の担当者の方が審査員と直接やり取りをされますが、「不安だからコンサルタントに立ち会ってほしい(横についていてほしい)」という場合は、立ち会うことも可能です。

※審査については「ISMS審査の流れを解説|期間・必要書類・注意点など」という記事に詳しく書いていますので、よろしければそちらもご確認ください。

6.内部監査(現場)

第一段階審査を無事に突破できたら、次は第二段階審査の準備をしていきます。その一つが現場に対する内部監査です。基本的には1部署30分を目安に、ISMSの範囲の全ての部署を対象に行います。

現場(各部署の方々)がISMSに関して策定したルールを守れているか、策定したルールに不都合がないかなどを確認していきます。

7.マネジメントレビュー

事務局の方からトップマネジメント(社長や経営陣などトップマネジメントと定めた方)へ、ISMSの運用についての報告をしていただき、トップマネジメントから次年度のISMSについての指示を受ける場です。(基本的にはコンサルタントは立ち会わず、事務局とトップマネジメントのあいだでのやり取りになります)

マネジメントレビューの結果は記録として残し、トップマネジメントから承認を受ける必要があります。

8.第二段階審査

再び審査機関による審査を受けます。第一段階審査と同じ審査員(+部署数や拠点数に応じて、別の審査員も参加されることがあります)が、現場の方に対して審査をします。

内部監査時よりも長時間となりますが、基本的には「どういう業務をやっているか」、「ルールが守れているか」を、各部署の責任者の方と、サンプリングで選ばれたその部署の一般従業員の方に対して審査員がヒヤリングしていきます。

こちらも審査時は基本的に一般従業員の方がご自身で審査員と直接やり取りをされますが、「コンサルタントに立ち会ってほしい」という場合は、立ち会うことも可能です。

第二段階審査の終了時に、審査員の方から審査の結果についてお話があります。審査報告書を見ながら、どこに対してどのような指摘事項が検出されたかが説明されます。

無事審査を終えれば、後日審査機関よりISMSの認証書が送られてきます。

※審査については「ISMS審査の流れを解説|期間・必要書類・注意点など」という記事に詳しく書いていますので、よろしければそちらもご確認ください。

9.審査後(クロージングのお打合せ)

これが最後のお打ち合わせです。

審査の結果を受けて、今後の対応をどうするかなどのお話をしたり、年間実施項目の一覧を見ながら次年度のISMSのスケジュールを立てたりします。

ISMSは一度取得して終わりではなく、継続的に運用していき改善していくためのものです。そのため、次年度以降の運用が重要になってくるのですが、実際のところ運用がうまくいかず、せっかく取得したISMS認証を早々に返上してしまったり、毎年の審査で大混乱が起きてしまったりという企業様が多いという現実があります。

以上が、おおまかなコンサルティングの流れとなります。

とはいえ、実際にはお客様の状況等によってご支援の内容や方法も色々と異なってまいりますので、貴社の場合はどのようなご支援体制・流れになるのか、という点はぜひ一度お電話やメールでお問い合わせいただけますと幸いです。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:[tel_free_consul] / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る