ISMS
取得の流れ
ISMS認証取得までに必要な8項目!取得方法から流れまでの完全ガイド
ISMS(ISO27001)とは?
ISMS(情報セキュリティマネジメントシステム)とは、データベースやコンピューターなどに収められている情報を安全に管理するための仕組みを指します。
ISMSをしっかりと適用することで、情報を安全に確保し続けることができるのです。
ISMSは、その管理システム自体が的確なものでないと実質的に意味を持ちません。そのため、有効なルールが定められているか、実際にそのルールが現場で適用されているかを確認する必要があります。
そのための制度として「ISMS」という認証制度があります。
取得することで情報管理をしっかりとしている企業だということで、信頼を得やすくなります。
そこで、どのようにISMS認証を取得できるのか、その流れを見ていきましょう。
ISMS取得までに必要な8項目
ISMS認証は8つのステップで取得します。
各ステップ毎に定められた書類の作成や実施事項が存在するので、事前準備をしっかりと行い、定められた手順に従って審査を受ける必要があります。
以下では具体的に、取得するために必要な項目を8つ解説します。
1.ISMSの適用範囲の決定
適用範囲とは、ISMSのルールや仕組みを適用する範囲のことです。
- 会社全体にするのか、一部の部署だけにするのか
- 顧客情報だけ守るのか、社内の情報全部守るのか
など、特定の部署や特定の情報資産だけに限定して適用することができます。
『特定の情報資産に限定』とは?
ISMS認証(ISO/IEC 27001)は、組織全体に適用することが原則ですが、特定の部署や特定の情報資産だけに限定して適用することも可能です。これを「適用範囲の限定」と呼びます。情報資産には以下があります。
・個人情報・技術情報・人事情報・営業情報
最初からすべての範囲を適用しても良いのですが、かなり大きな作業となってしまいます。そのため、リソースが限られている中小企業などでは、本当に必要な部署やデータ範囲に絞って取得を目指すのも賢明です。
自社にとって重要度の高い情報資産はなにか、対外的に見て影響度の大きなデータとはなにかを検討して、その範囲を決めましょう。
2.情報セキュリティ基本方針の策定
情報セキュリティとしてどのような対策を取るのか、行動指針としてどのようなルールを設けるのかを決めていきます。
具体的には、適用範囲となる情報について、社内もしくは部署全体でどのような運用規定を設けるのかを考えます。
また、そのために保護すべき情報としてはなにが対象となるのかを定義する必要があります。同時に、その情報資産に対してどのようなリスクがあるのかを想定します。こうしたリスクから情報を守るための大まかな方針と、具体的な手法を策定します。
こうした方針の中には、情報マネジメントのための体制づくりも含まれます。実際にどの部署が情報管理の点で率先するのか、どのような人員構成にするのか、部署もしくは担当者にどのくらいの権限を与えるのかといった点を検討します。
体制が明確になることで、責任の所在や意思決定権者などが分かることになります。
3.ISMS文書(宣言やマニュアル)の作成
上記で定めた対策や方針をルールやマニュアルとして文書にします。
これを「ISMS文書」と呼び、審査の際に提出することになりますし、今後の運用に当たっての基本となるので重要なステップです。
ルールやマニュアルの他にも、管理記録簿を作成しましょう。
担当者がどのように運用しているのか、どんなトラブルがありどのように対処したのか、どんなシステムの改変を行ったのかなどを記載し記録として残すためです。
ISMS認証取得には、適切な管理体制を構築するだけでなく、組織全体で運用することが重要です。そのためには、すべての従業員が情報セキュリティに関する知識を持ち、日常業務の中で実践することが不可欠です。
わかりやすい文章や図解を活用し、従業員一人ひとりが情報セキュリティの重要性を理解できるよう、効果的な教育プログラムを構築しましょう。
4.リスクアセスメントの実施
保有している情報資産について、どのようなリスクがあるのかを洗い出し、その詳細を分析、評価をすることです。その上で、どこまでを企業もしくは団体として許容できるかを定めます。これが、リスクアセスメントと呼ばれるプロセスです。
具体的には、まず自社が持っている情報の内容や利用しているツールに基づいて、どんなリスクがあるかを特定します。
その後、リスクの重大性に応じて優先順位を定めて、どのような順番、どのくらいの労力をかけるかを判断し対応策を講じます。
さらに、リスクアセスメントをどのように実施したかをチェックして、評価した後に必要に応じて改善を図ります。
5.従業員への教育実施
ルールがあるだけでは意味がありませんので、現場で実際に適用されるよう速やかに浸透させることが求められます。といっても、いきなりルールだけ提示しても運用は難しいので、まずは従業員への教育を行います。
その際、ISMS認証では、実際の情報マネジメントで果たす役割分担をすることを規定しています。そのため、それぞれの役割に応じて、必要なスキルや経験、権限などを考えて人員を割り当てるべきです。その上で、それぞれの役割に応じた研修をしていくのです。
6.内部監査の実施
こうしたISMSの運用が始まって一定期間が経過したら、内部監査を行います。
社内もしくは外部から監査を行うメンバーを選んで、策定したルールや全体の指針に従って現場で実際に業務がなされているかをチェックするプロセスです。
もし、ルールに沿っていない部分があるようなら、報告書の中にその点と共に解決策を記載します。
7.マネジメントレビューの実施
内部監査を実施したら、評価分析についての報告書を作成し、経営陣に提出します。そこで、取締役や経営者などがマネジメントレビューを実施することになります。
これは、自社の情報マネジメントが適切になされているかを、この報告書を確認し把握することです。マネジメントレビューはISMS認証取得に当たって必須の項目となっています。
ISO27001の規定には、ISMSがどのように運用されているかを経営者が把握しておくことが一つの要求事項として定められているからです。
経営者が積極的に関わることで、より安全性の高い環境を作れますので、重要視したいプロセスとなります。そして、マネジメントレビューをして、経営者側からの要求事項が出た場合、それを現場における運用に適用することになります。
8.ISMS審査機関による審査(第1段階・第2段階)
ここまでのプロセスを終えたら、ISMS審査機関に申請して審査を受けることになります。
認証審査は第1段階と第2段階に分かれています。
『審査機関の申請』はいつするの?
ISMS構築が概ね完了し、運用が安定したと判断できるタイミングで申請するのがベストです。ISMS取得を決定した段階で審査機関に申請しても問題ありませんが、構築や運用体制が未整備のまま審査に臨まないように注意しましょう。
第1段階審査
認証に求められる文書が作られ、適切に保管されているかをチェックします。
具体例として以下が挙げられます。
- 文書や記録類の作成と管理をする体制が整備されているか
- 明確なルールやマニュアルがあるか
- 管理記録簿が残されているか
- 社内と対外的なリスクの評価がなされているか
- リスク対応策が明確に定められているか
第2段階審査
第2段階審査では、細かくそれぞれの方針や対策、現場での運用状況がISO/IEC27001で定められている要求事項や規格に沿っているかをチェックします。
これは、単にルールとして存在するかというだけでなく、社内で実際に適用されているかも審査されるものとなります。
こうした2段階の審査を経て、的確な運用がなされていると判断されれば認証を得られます。審査時に不適合と判断された場合は、その部分の対応を行い再度審査を受けることで認証を取得可能です。
ISMS取得までどれくらいの期間がかかる?
取得までには書類作成と実際の運用が必要となりますので、ある程度の期間を見込んでおきましょう。通常は、半年から1年程度です。
認証は3年の有効期限がありますので、期限前に更新審査を受ける必要があります。そして、毎年、維持審査というものもあり、基準をクリアしないと失効するので注意しましょう。
ISMS取得の取得・更新にかかる費用
取得にかかる費用としては、数十万円から数百万円となります。
所得にかかる費用に差があるのは企業の規模や取得する対象範囲によって変わるからです。
また、自社だけで取得ができるのか、社外のコンサルタントを雇う必要があるのかといった点でも変わってきます。そのため、取得を決めたら、どのくらいの費用がかかるのか見積もりを出した方が良いでしょう。
