自社に適した審査機関を選定します。
ISO27017/ISO27018認証は、運用が開始されてから間もないため、クラウドに関する知見が豊富な審査機関が好ましいと言えます。

場合によっては、既存の審査機関からの乗り換えを検討する必要もありますので、なるべく早期に審査機関選定を開始します。

ISMSの管理策にクラウド固有の要素を加えるイメージで、クラウドセキュリティ上のリスク分析や対応策を検討・決定します。

ISO27017の場合は追加で79個、ISO27018の場合は追加で39個の観点からリスクを評価します。

これまで構築したクラウドセキュリティのルールをベースに、認証範囲の従業員様に対して従業員教育を実施します。

Eラーニングや集合研修形式など、従業員様の勤務状況やご意向に沿った手法をお選びいただけます。

取り組みの集大成として、経営陣へISMS活動の成果を報告します。

クラウドセキュリティを含めたISMS/ISO27001の改善の必要性やリスクアセスメント、リスク対応計画の更新について検討し、より良いISMSの形を模索していきます。

審査機関による文書審査、現地審査を受審します。

ISO27001認証初回審査に合わせてISO27017/ISO27018認証を取得するのか、それとも、ISO27001認証の維持審査や更新審査に合わせてISO27017/ISO27018認証を取得するのかで、審査の時期や段取りが変わってきます。

事前にコンサルタント、審査機関と段取りを打合せておきましょう。

現地審査を受審した後、審査機関より寄せられた指摘事項への対応を行います。
基本的にはメールや電話ベースで指摘事項への対応は完了可能ですが、対面でのお打合せが必要な場合などは、臨機応変にコンサルタントが現地へお伺いします。

そうして審査指摘事項への対応を終え、それらが適切であるとみなされれば、認証取得が確定します。
審査機関からの審査合格連絡が入ってから約1ヶ月後に、登録証や認証のマークがお手元に届きます。

おめでとうございます！