プラン紹介
取得おすすめ情報
全国コンサルタント対応エリア
LRMのISMS認証取得コンサルティングにはいくつかのコースがありますが、最も一般的なシンプルコースをご選択いただいた場合、一般的に下記内容で認証取得が可能となっております。
取組期間 | 平均6ヶ月 |
---|---|
打ち合わせ回数 | 平均8回 ※各お打ち合わせごとに1時間半~2時間ほどお時間をいただきます |
※実際には、企業規模や取り組みの方法、社会情勢によって変動しますので、あくまで平均的な数字です。
なお、コンサルティングの流れとしては、おおむね下記になります。
以下では、コンサルティングの流れについて詳しくご説明していきます。
※こちらはあくまでシンプルコースの内容を記載しています。その他のコース(スタンダードコースなど)については別途お問い合わせください。
流れ
LRMでは、お客様のご希望に応じて、商談の段階でコンサルタントがお客様のもとにお顔合わせをおこなうこともありますが、この初回訪問で初めてコンサルタントとお客様がお顔合わせとなることも多々あります。そのため、まずは名刺交換や自己紹介をして、ご挨拶とアイスブレイクをおこないます。
すでに営業担当が聞いている場合もありますが、改めてISMSの認証取得を目指すことになったきっかけを確認し、お客様とコンサルタントのあいだで認識に齟齬がないか、確認をおこないます。
「情報セキュリティ関連の第三者認証取得が入札の要件となっているため」や「しっかりとした情報セキュリティ体制をしたいため」など、お客様によって認証取得に至った経緯は本当に様々です。
ここで確認した内容は、ISMS適用範囲の決定や今後のお取組を進めていく際の指針となりますので、とても大切な工程です。
商談時に営業担当からも軽く説明はおこないますが、改めてLRMのコンサルティングの方法や流れをご説明します。
特にLRMのコンサルティングでは、クラウドストレージ(box、GoogleDriveなど)やメーリングリスト、チャットツール(Chatwork、slackなど)を活用しますので、「どのツールを利用するのか?」「どのツールでどういったことをするのか?」といったことを確認します。
LRMが用意したスライドを使って、コンサルタントがISMSについての説明をおこないます。
ISMSのことを全くご存知でない方でも、この説明を聞くことでISMSの概要を理解できます。ISMSについてすでによくご存知のお客様の場合、この工程を飛ばすこともあります。
コンサルタントがお取組のスケジュール感や大まかな流れの説明をおこないます。
お客様のもとで「この日までに認証を取得したい」「この期間はほかの業務が忙しくなるので、少し間を空けたい」などのご要望があれば、コンサルタントにご相談ください。
スケジュール感が決まったら、LRMが用意した「年間実施項目管理表」(ISMS認証取得に向けたToDoを管理する資料)をもとに、いつ頃までにどういったToDoをこなしていくのか、具体的に決定していきます。
ISMSの認証取得は法人単位である必要はなく、部署単位や事業単位など、任意の範囲で認証取得できます。そのため、まずはISMSのルールが適用される範囲を決めます。
ほとんどの場合、どの範囲で取得するかはこの時点ですでに決まっている場合が多いですので、実際には確認となることが多いです。(もしこの段階で決まっていない場合は、コンサルタントにご相談ください)
認証範囲が決まれば、実際にその範囲の組織が行っている事業について、コンサルタントが詳しいお話を聞いていきます。
トップマネジメント、情報セキュリティ管理者、情報セキュリティ担当者、内部監査員など、ISMSを運用していく上で必要となる各役割を誰が担うのかを決めていきます。(役割名や権限については任意に設定できます)
組織の情報資産を特定するために、「情報資産管理台帳」に情報資産を記載して一覧化します。こちらはお客様に作成して頂くので、記載の方法について説明します。(約3か月かけて作成して頂くことを想定しています)
2回目以降のお打合せの際などに進捗状況を確認しますので、それまでにできる範囲でお客様のもとで対応していただきます。(いわゆる宿題のようなものです)
ISMS認証を取得するには、審査を受ける必要があります。そのため、お願いする審査機関を決めなければなりません。この段階でまだ決まっていなければ、LRMオススメの審査機関をご紹介します。(LRMがお客様の代わりにオススメの審査機関に対して概算見積もり依頼することも可能です)
最後に、コンサルタントが全体を通しての質問がないかを確認します。また、ToDoをチェックしたり、可能であれば次回のお打ち合わせの日程調整をしたりします。
なお、次の打ち合わせはリスクアセスメントとなり、各部署の担当者に出席してもらいたいため、その場で日程調整が困難なときもあります。その場合は、改めてメール等で日程調整をしていきます。
という一連の流れを「リスクアセスメント」と呼びます。
リスクアセスメントの手法は様々あるのですが、LRMのISMS認証取得コンサルティング(シンプルコース)では、主に「業務フローベースのリスクアセスメント」を実施します。
主に2回目のお打ち合わせから、このリスクアセスメントに取り組んでいくことになります。各部署30分程度ずつお時間をいただいて業務の流れをヒヤリングしていき、その中でリスクの洗い出し、対応策の検討を実施していくことが多いです。
LRMのリスクアセスメントは、下記の流れで実施していきます。
リスクを上記の観点で洗い出します。こう書くと難しいですが、簡単に言うと「
例)営業部の見積もり送付フローに関するリスク
見積もりを作成する |
|
---|---|
メールを作成する |
|
メールに見積もりを添付する |
|
リスクの洗い出しが終わったら、
例)営業部の見積もり送付フローに関するリスクの対応策
見積もりの金額に齟齬がある |
|
---|---|
宛先を間違える |
|
リスクと対応策の洗い出しが完了したら、次はそれぞれのリスクと対応策を評価していきます。どういうことかというと、
といった観点から
自社が受容できるリスクの大きさを設定し、その基準値を超えたものについては、「追加の対策をする」か「リスクを受容する」かの判断をおこないます。基準値を超えなかったものについては、必要に応じて対策を検討します。
リスクの洗い出し、対応策の洗い出し、追加する対策策の検討という一連の作業が終わったら、それらを一覧化したものをリスク所有者(リスクに対して責任を負う者)に確認してもらい、承認してもらう必要があります。
リスクアセスメントが終わったら、次はISMSに関するマニュアルの作成をしていきます。LRMのISMS認証取得コンサルティング(シンプルコース)では、3つのマニュアルが存在します。
多くの場合、3回のお打ち合わせで「セキュリティハンドブック」→「情報セキュリティマニュアル」→「MSマニュアル」といった順番で作成していきますが、順番や1回のお打合せでどこまで進めるかはその時々の状況により異なります。
「情報セキュリティマニュアル」と「セキュリティハンドブック」では、JIS Q27001附属書Aの管理策を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めます。
特に「セキュリティハンドブック」には、ISMSが適用される全従業員向けのルールを書いていきます。
会社ごとにどのようなルールが適切か異なりますので、お打合せの中でどのようなルールにしたいか確認しながら作成していきます。LRMでは規格の管理策(JIS Q27001附属書A)の項目を具体的なルールに落とし込んだセキュリティハンドブックのひな形を用意していますので、それをもとにお客様の実態、希望に沿うかたちで修正していきます。
「情報セキュリティマニュアル」も上述のとおり、JIS Q27001附属書Aの管理策をはじめとした、情報セキュリティに関して従業員が守るべき具体的なルールについて定めるものです。
「情報セキュリティマニュアル」には、人事やシステム開発・運用など、特定の業務についてそれぞれの担当者向けのルールを書いていきます。
※ルールの例
委託先の管理に関して |
|
---|---|
人事に関して |
|
開発に関して |
|
こちらも会社ごとにどのようなルールが適切か異なりますので、お打合せの中でどのようなルールにしたいか確認しながら作成していきますが、LRMで規格の管理策(JIS Q27001附属書A)の項目を具体的なルールに落とし込んだひな形を用意していますので、それをもとにお客様の実態、希望に沿うかたちで修正していきます。
MSマニュアルは上記2つと比べると、そこまで会社によって内容が大きく変化するものではありません。
お打ち合わせでは各項目の内容をコンサルとお客様のあいだでLRMが用意したひな形を一緒に確認し、より具体的な内容を記載していく流れになります。
上記のように自社に合った文書(ルール)を作成していく中で、例えば「委託先管理表というファイルを作成して、委託先はそのファイル内で管理していく」というルールを設けた場合、ルールのとおり委託先管理表を作成して、表に委託先を記載していく、といった対応が必要となります。
また、従業員教育や関連法令の管理についてもルールを作成することになりますので、そのルールに沿った対応を実施していきます。
文書(ルール)の作成が終われば、次はISMSに関して作成した各種文書の記載が規格に沿っているかを確認していきます。(「規格のこの部分について、御社のマニュアルではどこに定めていますか」など)
「情報資産管理台帳」や「リスク管理表」など、ISMSのマニュアルの中で作成することをルールとした各種記録類やフォーマット類がきちんと作られているか確認します。
基本的には第一段階審査で聞かれることと同じことを聞いていきますので、審査の予行練習というイメージを持っていただけたらと思います。(ヒヤリングの時間は審査よりも短いので審査のダイジェスト版というイメージです)
ISMSの認証を取得するために、第三者機関から審査を受けます。
審査は2回に分かれており、1回目の審査は規格に沿ったルールを構築しているかが主に確認されます。これまでISMSの構築に主立って取り組まれた事務局の担当者の方に受け答えしていきます。
審査時は基本的に事務局の担当者の方が審査員と直接やり取りをされますが、「不安だからコンサルタントに立ち会ってほしい(横についていてほしい)」という場合は、立ち会うことも可能です。
※審査については「ISMS審査の流れを解説|期間・必要書類・注意点など」という記事に詳しく書いていますので、よろしければそちらもご確認ください。
第一段階審査を無事に突破できたら、次は第二段階審査の準備をしていきます。その一つが現場に対する内部監査です。基本的には1部署30分を目安に、ISMSの範囲の全ての部署を対象に行います。
現場(各部署の方々)がISMSに関して策定したルールを守れているか、策定したルールに不都合がないかなどを確認していきます。
事務局の方からトップマネジメント(社長や経営陣などトップマネジメントと定めた方)へ、ISMSの運用についての報告をしていただき、トップマネジメントから次年度のISMSについての指示を受ける場です。(基本的にはコンサルタントは立ち会わず、事務局とトップマネジメントのあいだでのやり取りになります)
マネジメントレビューの結果は記録として残し、トップマネジメントから承認を受ける必要があります。
再び審査機関による審査を受けます。第一段階審査と同じ審査員(+部署数や拠点数に応じて、別の審査員も参加されることがあります)が、現場の方に対して審査をします。
内部監査時よりも長時間となりますが、基本的には「どういう業務をやっているか」、「ルールが守れているか」を、各部署の責任者の方と、サンプリングで選ばれたその部署の一般従業員の方に対して審査員がヒヤリングしていきます。
こちらも審査時は基本的に一般従業員の方がご自身で審査員と直接やり取りをされますが、「コンサルタントに立ち会ってほしい」という場合は、立ち会うことも可能です。
第二段階審査の終了時に、審査員の方から審査の結果についてお話があります。審査報告書を見ながら、どこに対してどのような指摘事項が検出されたかが説明されます。
無事審査を終えれば、後日審査機関よりISMSの認証書が送られてきます。
※審査については「ISMS審査の流れを解説|期間・必要書類・注意点など」という記事に詳しく書いていますので、よろしければそちらもご確認ください。
これが最後のお打ち合わせです。
審査の結果を受けて、今後の対応をどうするかなどのお話をしたり、年間実施項目の一覧を見ながら次年度のISMSのスケジュールを立てたりします。
ISMSは一度取得して終わりではなく、継続的に運用していき改善していくためのものです。そのため、次年度以降の運用が重要になってくるのですが、実際のところ運用がうまくいかず、せっかく取得したISMS認証を早々に返上してしまったり、毎年の審査で大混乱が起きてしまったりという企業様が多いという現実があります。
以上が、おおまかなコンサルティングの流れとなります。
とはいえ、実際にはお客様の状況等によってご支援の内容や方法も色々と異なってまいりますので、貴社の場合はどのようなご支援体制・流れになるのか、という点はぜひ一度お電話やメールでお問い合わせいただけますと幸いです。