難易度高め? ISO27001(ISMS)の取得方法と流れ
投稿日:2021年8月17日 最終更新日:2024年6月5日
こんにちは。
ISOコム マネジメントコンサルタントの加藤 政夫です。
今日は「難易度高め? ISO27001(ISMS)の取得方法と流れ」をお話してみたいと思います。
ISO27001(ISMS)の認証取得の流れとは?難易度が高いかも。。
これから、ISO27001(ISMS)の認証を取得しようと考えて見ましょう。
ISO9001(QMS)やISO14001(EMS)を構築した経験があればわかりますが、
以下のような手順になります。
1) 規格(ISO/IEC 27001:2013)に書かれている要求事項(やらなければならないこと)を理解します。
2) 上記要求事項を実現するための、自分たちの組織にあった、規程や手順書等を作成します。
3) 上記規程や手順書に従った運用を開始します。
4) 3ヶ月程度の運用をしてから、内部監査を実施します。
5) 内部監査の結果を含めたマネジメントレビューを実施します。
6) 初回審査(一次、二次)を、受けて認証取得となります。
ISMSの場合に、難しいと感じられるのは、2)の部分です。
特に、情報セキュリティに関わる施策を身近に感じるIT企業であれば、取組み易いのですが、
ITを本業としていない企業にとっては、難易度が高いのではないでしょうか?
情報セキュリティリスクアセスメントとは?
最初のハードルは、情報セキュリティリスクマネジメントです。
この作業は、マネジメントシステムを構築する際に、避けて通れない作業です。
いろいろなやり方がありますが、代表的なやり方を説明します。
1. 企業の情報資産(ひと言で言えば「データ」で、紙の書類だけでなく、パソコンのSSDやHDD、USBメモリやSDカードなどに保存されているデータ及び情報を言います。)を洗い出して、一覧表を作ります。
その際、保管場所、責任者、利用者、保管期間などを合わせて記入しておきます。
2. 上記情報資産の保管場所ごとに纏めて、機密性、完全性、可用性の観点での重要性を評価します。
例えば、
「ファイルサーバーには、機密性の高いかつ完全性の高いファイルがある。」
「サービスを提供しているサーバーには可用性の高いデータがある」
というように、評価します。
3. 上記に対して、機密性、完全性、可用性を損なうようなリスクを考えます。
例えば、
「ファイルサーバーでの完全性が損なわれる脅威として、利用者が誤ってファイルを消去することが想定される。」
「サービス提供しているサーバーの可用性が損なわれる脅威として、外部からの攻撃により利用できなくなることが想定される。」
が考えられます。
4. 上記リスクに対して、情報資産の重要性とリスクの発生確率と脆弱性(リスクの発生に対してどの程度対策ができているか)を考えて、対策するべき重要リスクを選びます。
(具体的には、「情報資産の重要性」「リスクの発生確率」「脆弱性」を数値化して、その積をリスク値とします。その値により、リスクの重要度を評価します。)
5. 上記重要リスクについて、以下の中から、対応を決めます。
・リスクの低減:新たな対策を実施して、重要リスクとならないようにします。
・リスクの受容: リスクを残留リスクとして、受容します。
・リスクの回避:脅威が発生しないようにする。
(例えば、サービス提供する事業から撤退する)
これは、保管場所ごとにリスクアセスメントをする方式です。
それなりの手間はかかりますが、比較的取組み易く、また網羅的にできるので、認証取得時には推奨しています。
管理策と適用宣言書とは?
次のハードルは、管理策と適用宣言書です。
情報セキュリティリスクアセスメントの結果を踏まえて、
規格が標準で用意している管理策をどう対応するのか決める必要があります。
それを適用宣言書として纏めることになります。
規格の管理策は114項目あり、要求事項として書かれています。それらに対して以下の作業を実施します。
(1)管理策の要求事項を理解します。
(2)情報セキュリティリスクアセスメントの結果を踏まえて、管理策が採用するかどうかの判定をします。
(ほとんどの管理策は、採用になると思います。しかしながら、リモートワークを実施していない企業でしたら、「A.6.2.2 テレワーキング」は採用にはなりません。)
(3)管理策について、既に実施しているのであれば、規則や手順書があるのかどうか確認して、
もしできていないならば、作成します。
まだ、実施していないのならば、規則や手順書を作り実行しなければなりません。
(4)管理策に対して採用するかどうかと、採用するならば、対応する規則や手順書を記載し、
採用しないならば、その理由を記載した、適用宣言書を作成します。
ISO27001の取得は少し難易度高め。挫折する前に当社にご依頼ください。
最後までご覧いただき、ありがとうございます。
ISO27001とISMSの違いを意識され、ISMSの構築、運用に興味を持たれましたでしょうか。
適当にISMSの構築、運用してしまうと、
せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、
壊してしまったり、アクセスできなくなってしまったり・・・
お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。
当社では経験が豊富で、あなたの会社の課題を解決できるようISMSの構築、運用を支援するコンサルタントが揃っています。
ISMS、ISO27001の構築、運用、スリム化等、ご興味のある方は今すぐお問い合わせフォームからご相談を!
*ISOコム株式会社お問合せ窓口* 0120-549-330
当社ISOコム株式会社は各種ISOの新規取得や更新の際のサポートを行っているコンサルタント会社です。
ベテランのコンサルタントが親切丁寧にサポートしますので、気になる方はぜひご連絡下さい。