ISMS認証取得コンサルティングの流れ（シンプルコースの場合）

LRMのISMS認証取得コンサルティングには複数のコースがありますが、最も一般的なシンプルコースの場合、下記のような流れで認証取得が可能です。

※上記はあくまで平均的な数字です。実際には、企業規模やお取り組み方法、社会情勢により変動します。
※シンプルコース以外のコース（スタンダードコース等）については、別途お問い合わせください。

複数のツールを活用してお取り組みを進めるため、ご希望の利用ツールを事前にお伺いし、手配します。

• ファイル共有：Box、Google Drive
• コミュニケーション：Chatwork、Slack、Zoom、Teams　など

認証取得の目的・経緯の確認

認証取得の目的・経緯をお客様とコンサルタントで改めて共有し、お取り組みの指針を確認します。
「入札の要件である」や「事業拡大に伴い、社内体制を整備したい」など、お客様によって認証取得に至った経緯は様々です。

ISMSの概要説明

ISMSの概念や規格内容を、基礎知識から分かりやすくご説明いたします。ISMSについて既によくご存知のお客様の場合は、この工程を飛ばすこともあります。

認証取得に向けたスケジュールの確認

「年間実施項目管理表（認証取得・運用のためのToDoを管理するガントチャート）」をもとに、いつ頃までにどのようなToDoをこなしていくのかを確認します。

「この日までに認証を取得したい」「この期間は他の業務が忙しくなるので、少し間を空けたい」などのご要望があれば、コンサルタントにご相談ください。

適用範囲の決定

ISMS認証は法人単位だけではなく、部署単位や事業単位など任意の範囲で取得可能です。
まずは、ISMSのルールが適用される範囲を決定する必要があります。

推進体制の確立

ISMSを運用していく上で必要となる各役割を誰が担うのかを決定します。
一般的に、トップマネジメント、情報セキュリティ管理者、情報セキュリティ担当者、内部監査員などを任命しますが、役割名や権限については任意に設定可能です。

審査機関の選定

ISMS認証取得のための審査を依頼する審査機関を選定します。
審査機関ごとに費用や審査での指摘内容の傾向が異なるため、お客様の状況に適した審査機関をご検討ください。

情報資産を洗い出して、「情報資産管理台帳」に一覧化します。
記載方法や作成ポイントをご説明しますので、実際に情報資産を取り扱っているお客様に作成いただきます。作成に関してお困りの際は、都度コンサルタントがフォローします。

情報セキュリティ上のリスクを洗い出し、必要に応じて対応策（リスクを低減するための手段）を検討します。

リスク分析の流れ

業務フローに沿ったリスクの洗い出し

情報が「漏れる・正しくない・使えない」ことに繋がることや、契約や法令等への違反など、業務上起こったら困ることを洗い出します。

例）営業部の見積もり送付フローに関するリスク

リスクごとに現状の対応策を洗い出し

リスクごとに、現在実施している対応策を洗い出します。

例）営業部の見積もり送付フローに関するリスクの対応策

リスクと対応策の評価

下記観点から、それぞれのリスクと対応策を数値化して評価します。
「事故が発生した時の影響度」×「対応策を実施していても事故が発生する確率」
自社が受容できるリスクの大きさを設定し、その基準値を超えたものに対しては、追加の対応策をするか、リスクを受容するかを判断します。

最後に、リスク・対応策・評価の3つを「リスク管理表」に一覧化し、各リスクに対する責任者に確認してもらい、承認を得る必要があります。

ISMS認証取得に必要な規程類を作成し、運用していきます。
当社では、3つのマニュアルを作成します。

• セキュリティハンドブック
• 情報セキュリティマニュアル
• MSマニュアル

セキュリティハンドブック

ISMS規格に記載されている管理策（ISMS規格に準拠するためのリスクに対する具体的な対応策）を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めます。

「セキュリティハンドブック」には、ISMSが適用される全従業員向けのルールを策定します。

ルールの例

情報セキュリティマニュアル

ISMS規格に記載されている管理策を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めるものです。

「情報セキュリティマニュアル」には、人事やシステム開発・運用など、特定の業務についてそれぞれの担当者向けのルールを策定します。

ルールの例

MSマニュアル

主にISMS運用の担当者である事務局向けの文書です。

ISMSのPDCAサイクルを回すために実施する取り組みについて、規格上やらなければならないことをルール化してマニュアルに落とし込んでいきます。

従業員教育や委託先管理、関連法令の管理などのルールを作成し、作成したルール通りに対応していく必要があります。

クラウドサービスの提供会社なども含め、自社の委託先を洗い出し、委託先が自社の求めるセキュリティ水準を満たしているかを検討します。

一般的には委託先へアンケートを実施し、回答結果をもとに判断します。アンケート回答を得るのが難しい企業は、情報セキュリティ認証の有無などをもとに判断可能です。

従業員に対して、情報セキュリティに関する知識を学んでもらう教育を実施します。情報セキュリティ担当者や内部監査員には、役割に応じた教育の実施が必要です。

災害やシステム障害など、事業継続が困難な状況下でも、情報セキュリティがきちんと担保されるかを確認するBCP（事業継続計画）試験を計画・実施し、実施結果を記録として残します。

事務局内部監査

ISMSに関して作成した各種文書の記載が規格に沿っているかを確認します（「規格のこの部分について、御社のマニュアルではどこに定めていますか」など）。

また、「情報資産管理台帳」や「リスク管理表」など、MSマニュアル等で作成をルール化した各種記録類がきちんと作成されているか確認します。

現場内部監査

ISMS適用範囲内すべての部署を対象に内部監査を行います。

当社で実施する場合は、1部署30分を目安に、各部署の現場の方々がISMSに関して策定したルールを守れているか、策定したルールに不都合がないかなどを確認していきます。

事務局の方からトップマネジメント（社長や経営陣などトップマネジメントと定めた方）へ、ISMS運用に関する報告をおこない、トップマネジメントから次年度の運用についての指示を受けます。
基本的にはコンサルタントは立ち会わず、事務局とトップマネジメントのみで実施します。

また、マネジメントレビューの結果は記録し、それに対してトップマネジメントから承認を受ける必要があります。

第一段階審査

ISMS認証を取得するために、第三者機関から審査を受けます。

コンサルタントは立ち会わず、お客様と審査機関でご対応いただきます。
審査は2回に分かれており、第一段階審査では、事務局のご担当者に対して「規格に沿ったルールを構築しているか」などが主に確認されます。

例)審査時の質問事項

「内部および外部の課題をどこで特定していますか？」

「MSマニュアルの1.1で特定しています」

第二段階審査

第二段階審査では、各部署の責任者とサンプリングで選ばれたその部署の従業員に対して「どういう業務を行っているか」「ルールが守れているか」などが主に確認されます。

また、審査終了時に、審査員から結果について伝えられます。審査報告書を見ながら、どこに対してどのような指摘事項が検出されたかを説明されます。
無事審査を終えれば、後日審査機関よりISMSの認証書が送られてきます。

事務局内部監査

審査結果を受けて、今後の対応方針の検討や、次年度のISMS運用スケジュールを策定します。

ISMSは一度取得して終わりではなく、継続的に改善しながら運用していくことが重要です。

しかし、実際のところ運用がうまくいかず、せっかく取得したISMS認証を早々に返上してしまったり、毎年の審査で大混乱が起きてしまったりという企業も少なくありません。

以上が、大まかなコンサルティングの流れ（シンプルコース）です。

実際には、お客様の状況等によってご支援内容や方法が異なるため、「自社の場合はどのようなご支援体制・流れになるのか」という点は、ぜひ一度お電話やメールでお問い合わせください。

ISMS取得できるのか？いつまでに取れそうか？どれくらいの費用がかかるのか？
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

メールフォーム (24時間受付)