ISMS認証取得コンサルティングの流れ(シンプルコースの場合)

LRMのISMS認証取得コンサルティングには複数のコースがありますが、最も一般的なシンプルコースの場合、下記のような流れで認証取得が可能です。

お取り組み期間 6~7か月
打ち合わせ回数 8回 ※2時間ほど/回

※上記はあくまで平均的な数字です。実際には、企業規模やお取り組み方法、社会情勢により変動します。
※シンプルコース以外のコース(スタンダードコース等)については、別途お問い合わせください。

事前準備

複数のツールを活用してお取り組みを進めるため、ご希望の利用ツールを事前にお伺いし、手配します。

  • ファイル共有:Box、Google Drive
  • コミュニケーション:Chatwork、Slack、Zoom、Teams など
コンサルティングポイント
  • 商談時の内容は、担当コンサルタントにしっかりと共有します。
    他コンサルティング会社では「商談時と話が違う」というケースもあります。
  • お客様の業界や業務について、可能な限り事前に理解してからコンサルティングに臨みます。お客様の状況に近しい事例がある場合は、他コンサルタントとの情報共有や勉強会を実施します。

初回お打合せ

認証取得の目的・経緯の確認

認証取得の目的・経緯をお客様とコンサルタントで改めて共有し、お取り組みの指針を確認します。
「入札の要件である」や「事業拡大に伴い、社内体制を整備したい」など、お客様によって認証取得に至った経緯は様々です。

ISMSの概要説明

ISMSの概念や規格内容を、基礎知識から分かりやすくご説明いたします。ISMSについて既によくご存知のお客様の場合は、この工程を飛ばすこともあります。

認証取得に向けたスケジュールの確認

「年間実施項目管理表(認証取得・運用のためのToDoを管理するガントチャート)」をもとに、いつ頃までにどのようなToDoをこなしていくのかを確認します。

「この日までに認証を取得したい」「この期間は他の業務が忙しくなるので、少し間を空けたい」などのご要望があれば、コンサルタントにご相談ください。

適用範囲の決定

ISMS認証は法人単位だけではなく、部署単位や事業単位など任意の範囲で取得可能です。
まずは、ISMSのルールが適用される範囲を決定する必要があります。

推進体制の確立

ISMSを運用していく上で必要となる各役割を誰が担うのかを決定します。
一般的に、トップマネジメント、情報セキュリティ管理者、情報セキュリティ担当者、内部監査員などを任命しますが、役割名や権限については任意に設定可能です。

審査機関の選定

ISMS認証取得のための審査を依頼する審査機関を選定します。
審査機関ごとに費用や審査での指摘内容の傾向が異なるため、お客様の状況に適した審査機関をご検討ください。

コンサルティングポイント
  • もし審査機関の選定にお困りであれば、おすすめの審査機関をご紹介します。また、当社よりおすすめの審査機関へ概算見積もりを依頼することも可能です。

情報資産の洗い出し

情報資産を洗い出して、「情報資産管理台帳」に一覧化します。
記載方法や作成ポイントをご説明しますので、実際に情報資産を取り扱っているお客様に作成いただきます。作成に関してお困りの際は、都度コンサルタントがフォローします。

リスク分析

情報セキュリティ上のリスクを洗い出し、必要に応じて対応策(リスクを低減するための手段)を検討します。

コンサルティングポイント
  • 業務フローをベースにリスク分析を実施します。
    各部署30分ほど業務の流れをヒアリングし、発生しうるリスクを洗い出し、対応策を検討します。

リスク分析の流れ

Step01

業務フローに沿った
リスクの洗い出し

Step02

リスクごとに
現状の対応策を洗い出し

Step03

リスクと対応策の
評価

業務フローに沿ったリスクの洗い出し

情報が「漏れる・正しくない・使えない」ことに繋がることや、契約や法令等への違反など、業務上起こったら困ることを洗い出します。

例)営業部の見積もり送付フローに関するリスク
見積もりを作成する
  • 誤って見積もり内に他社の会社名を記載する
  • 見積もりの金額に齟齬がある
メールを作成する
  • 宛先・宛名を間違える
メールに見積もりを添付する
  • 誤って他社用に作成した見積もりを添付する

リスクごとに現状の対応策を洗い出し

リスクごとに、現在実施している対応策を洗い出します。

例)営業部の見積もり送付フローに関するリスクの対応策
見積もりの金額に齟齬がある
  • 見積もり作成後、第三者によるダブルチェックを実施
  • 見積もり作成画面で、金額に間違いがないか確認を促すポップアップを表示
宛先を間違える
  • メール送信後に5分間メール送信を停止できるサービスを利用
  • 宛先は必ずCRMに登録し、CRMのサジェストを活用
  • メール送信前にダブルチェックを実施

リスクと対応策の評価

下記観点から、それぞれのリスクと対応策を数値化して評価します。
「事故が発生した時の影響度」×「対応策を実施していても事故が発生する確率」
自社が受容できるリスクの大きさを設定し、その基準値を超えたものに対しては、追加の対応策をするか、リスクを受容するかを判断します。

最後に、リスク・対応策・評価の3つを「リスク管理表」に一覧化し、各リスクに対する責任者に確認してもらい、承認を得る必要があります。

文書作成

ISMS認証取得に必要な規程類を作成し、運用していきます。
当社では、3つのマニュアルを作成します。

コンサルティングポイント
  • 各文書について、規格内容を具体的なルールに簡潔に落とし込んだひな形を用意しています。
    ひな形をもとに、お客様の実態やご要望に沿うように検討し修正します。

セキュリティハンドブック

ISMS規格に記載されている管理策(ISMS規格に準拠するためのリスクに対する具体的な対応策)を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めます。

「セキュリティハンドブック」には、ISMSが適用される全従業員向けのルールを策定します。

ルールの例

  • 機密情報および社外秘情報は、適切なアクセス権を設定した共有フォルダで保管する。
  • パスワード付きのスクリーンセーバーが10分以内に起動するよう設定する。
  • パスワードの文字列は、8ケタ以上とする。

情報セキュリティマニュアル

ISMS規格に記載されている管理策を参考に、情報セキュリティに関して従業員が守るべき具体的なルールについて定めるものです。

「情報セキュリティマニュアル」には、人事やシステム開発・運用など、特定の業務についてそれぞれの担当者向けのルールを策定します。

ルールの例

委託先の管理に関して
  • 新しい事業者を供給者として選定する場合は、情報セキュリティ管理者は、以下に定める選定の基準に従い、情報セキュリティのレベルを調査する。
  • 調査結果を基に、情報セキュリティ管理者は、アクセスを可能にする情報資産の重要度を鑑み、委託先として適切か否かを判断し、その結果を「委託先管理台帳」に追加する。
人事に関して
  • 不採用者の履歴書等の情報は、本人へ返却するか、一定期間経過後にシュレッダーで廃棄する。
  • 人事担当者は、「入社退職時チェックリスト」を作成し、もれなく入社時手続きを実施する。手続きには、入社時教育の実施、誓約書の取得を含める。
開発に関して
  • 情報セキュリティに関する要件を含んだ、開発方針を作成する。
  • 入力したパスワード文字列が、ログに出力されないよう、十分に注意する。

MSマニュアル

主にISMS運用の担当者である事務局向けの文書です。

ISMSのPDCAサイクルを回すために実施する取り組みについて、規格上やらなければならないことをルール化してマニュアルに落とし込んでいきます。

従業員教育や委託先管理、関連法令の管理などのルールを作成し、作成したルール通りに対応していく必要があります。

委託先管理

クラウドサービスの提供会社なども含め、自社の委託先を洗い出し、委託先が自社の求めるセキュリティ水準を満たしているかを検討します。

一般的には委託先へアンケートを実施し、回答結果をもとに判断します。アンケート回答を得るのが難しい企業は、情報セキュリティ認証の有無などをもとに判断可能です。

コンサルティングポイント

従業員教育

従業員に対して、情報セキュリティに関する知識を学んでもらう教育を実施します。情報セキュリティ担当者や内部監査員には、役割に応じた教育の実施が必要です。

コンサルティングポイント

BCP試験

災害やシステム障害など、事業継続が困難な状況下でも、情報セキュリティがきちんと担保されるかを確認するBCP(事業継続計画)試験を計画・実施し、実施結果を記録として残します。

コンサルティングポイント

内部監査

事務局内部監査

ISMSに関して作成した各種文書の記載が規格に沿っているかを確認します(「規格のこの部分について、御社のマニュアルではどこに定めていますか」など)。

また、「情報資産管理台帳」や「リスク管理表」など、MSマニュアル等で作成をルール化した各種記録類がきちんと作成されているか確認します。

コンサルティングポイント
  • 初年度は当社コンサルタントが内部監査を実施します。基本的に第一段階審査で確認されることと同様の質問をしますので、審査の予行練習にも繋がります。

現場内部監査

ISMS適用範囲内すべての部署を対象に内部監査を行います。

当社で実施する場合は、1部署30分を目安に、各部署の現場の方々がISMSに関して策定したルールを守れているか、策定したルールに不都合がないかなどを確認していきます。

マネジメントレビュー

事務局の方からトップマネジメント(社長や経営陣などトップマネジメントと定めた方)へ、ISMS運用に関する報告をおこない、トップマネジメントから次年度の運用についての指示を受けます。
基本的にはコンサルタントは立ち会わず、事務局とトップマネジメントのみで実施します。

また、マネジメントレビューの結果は記録し、それに対してトップマネジメントから承認を受ける必要があります。

審査

第一段階審査

ISMS認証を取得するために、第三者機関から審査を受けます。

コンサルタントは立ち会わず、お客様と審査機関でご対応いただきます。
審査は2回に分かれており、第一段階審査では、事務局のご担当者に対して「規格に沿ったルールを構築しているか」などが主に確認されます。

例)審査時の質問事項

「内部および外部の課題をどこで特定していますか?」

「MSマニュアルの1.1で特定しています」

第二段階審査

第二段階審査では、各部署の責任者とサンプリングで選ばれたその部署の従業員に対して「どういう業務を行っているか」「ルールが守れているか」などが主に確認されます。

また、審査終了時に、審査員から結果について伝えられます。審査報告書を見ながら、どこに対してどのような指摘事項が検出されたかを説明されます。
無事審査を終えれば、後日審査機関よりISMSの認証書が送られてきます。

審査後お打合せ

事務局内部監査

審査結果を受けて、今後の対応方針の検討や、次年度のISMS運用スケジュールを策定します。

ISMSは一度取得して終わりではなく、継続的に改善しながら運用していくことが重要です。

しかし、実際のところ運用がうまくいかず、せっかく取得したISMS認証を早々に返上してしまったり、毎年の審査で大混乱が起きてしまったりという企業も少なくありません。

コンサルティングポイント

以上が、大まかなコンサルティングの流れ(シンプルコース)です。

実際には、お客様の状況等によってご支援内容や方法が異なるため、「自社の場合はどのようなご支援体制・流れになるのか」という点は、ぜひ一度お電話やメールでお問い合わせください。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問合せはTEL:[tel_free_consul] / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISMS/ISO27001認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る