サービス 取得の極意

ISO27001 取得・事前の確認

ISO27001 取得・活動開始

ISO27001 認証取得後

ISO27001 コラム

会社概要

ISO27001取得の極意

ISO27001/ISMS取得スケジュールの確認

取得活動を開始する前に、事前に、ISO27001/ISMS取得スケジュール(取得までの流れ)を確認ください。
一般的にISO27001/ISMS取得のスケジュールは下記のようになりますので、全体像を認識していただいたうえで、取得前の準備をされるとスムーズに取得活動を進めやすくなります。
(コンサルティング会社に取得活動のサポートを依頼する場合の例です。)

ISO27001/ISMS取得スケジュール:認証取得の流れ

1.ISO27001/ISMS取得目的の確認

何のために取得を行なうのか、本当に取得を行なう必要があるのか?
  再度、確認を行なう。

2.ISO27001/ISMS取得期限の決定

いつぐらいまでに取得を行ないたいのか?
決算月(年度内)、年内、など。
具体的な取得年月を決定する。

3.ISO27001/ISMS取得体制の決定
  • ISO推進メンバー(事務局、委員会)の決定
  • コンサルティング会社(コンサルタント)依頼の有無の決定
  • コンサルティング会社の決定
  • 審査機関の決定
  • 費用の確認(コンサルティング/コンサルタント費用、審査費用)

4.ISO27001/ISMSコンサルティング会社(ISOコンサルタント)との契約

コンサルティング会社との契約、条件確認、費用の支払い

5.ISO27001/ISMS取得活動:キックオフ

ISO取得活動の経営者による宣言。
代表者が、社員一丸となってISO取得活動を取り組むためのISO27001/ISMSへの強い思いを全社員へ向けて宣言を行なう。

6.ISO27001/ISMS取得活動:マニュアル化(文書化)

ISO27001/ISMS取得に要求される項目のマニュアル化(文書化)を行なう。なお、単なるマニュアル化を行なうのではなく、“情報セキュリティ上、意味があるのか?”という視点で作成することがポイント。

7.ISO27001/ISMS取得活動:運用

作成したマニュアル(文書、記録、帳票)をもとに実施・運用する。あくまでも作成したマニュアル(文書、記録、ちょう票)は“このような方法が良い”というアイデア段階のものが多いので、実際に運用をした上で、実務とは合わない箇所をどんどん変更していけば良いです。

8.ISO27001/ISMS取得活動:内部監査(チェック)

実際に定めたマニュアルどおりに運用できているかどうかを社員がお互いにチェックすることを内部監査と言います。監査と聞くと言葉は難しいですが、内部チェックという理解をしていただければわかりやすいでしょう。
内部監査にはやや特別な方法で行なう必要がありますので、そのためのスキルを身につけていただきます。内部監査員養成講座のような講習を受講していただき、内部監査員を社内に養成をしていただく必要があります。(だいたい1〜2日程度の講習 を受講されれば簡単に内部監査員としてのスキルを身につけることができます。)

9.ISO27001/ISMS取得活動:審査

いよいよISO取得のための審査となります。一般的には審査は 審査では準備をしておけば、“落ちる”ということはまずありえません。 むしろ、ISOの審査は、落とすよりも“通す”ための審査と言っても良いでしょう。審査において指摘事項をいただくことになると思いますが、その内容を訂正することで、認証取得することができます。
なお、審査は、”作成したマニュアルどおりに運用されているか”を主に、実際のマ  ニュアルや記録・帳票の運用状況を確認しながら、ヒアリング形式で行なわれます。

10.ISO27001/ISMS取得後:定期審査・更新審査

ISO27001/ISMS取得後には定期審査(サーベイ、サーベイランス)が半年〜1年毎に1回、更新審査が3年ごとに1回行なわれます。定期審査は一部の箇所、更新審査は全体をチェックする審査となります。
なお、ISO27001/ISMSは、“取得活動後からが本来の運用の始まり”です。ISO27001/ISMS認証取得後に継続的な改善を行なうこと、より強固な情報保護体制を作ることができます。単なる運用だけでなく、継続的な改善ができているかどう
かが、ポイントです。

以上が、ISO27001/ISMS取得までの流れです。
ご参考ください。

取得目的の確認