情報セキュリティマネジメントシステムの構築状況について第三者機関の審査を受けることで客観的に評価され、対外的アピール又は社内におけるモチベーションアップを行うことができます。
ISO27001はISO9001やISO14001と同様にマネジメントシステムに関する国際規格で、情報セキュリティ分野に特化したものとなっています。
当社では、ISO27001の認証取得活動について、適用範囲の決定を含む準備段階から、リスクアセスメント及びルール(文書)作成の構築段階、さらに審査機関による審査実施までの運用段階において全てのフェーズについて認証取得するまでサポートします。
現状調査分析
御社の現在のセキュリティシステムについてISO27001の要求事項と比較し、適合状況を調査します。この段階において、情報セキュリティに関わる文書類がどの程度存在するのか明確にします。この結果を基にマネジメントシステム構築に関する計画を確定します。
リスクアセスメント
情報資産の洗い出し方法、洗い出された情報資産に対しての評価および分析を行います。
この結果から情報を守るための管理策を選定します。
文書化
現状調査・分析の結果およびリスクアセスメントの結果をベースに、御社に必要な規定・手順書を作成します。
教育訓練支援・内部監査支援
作成した文書に基づき、社員の方々に対して教育訓練を実施します。
さらに内部監査員になられる社員の方々に対しては、内部監査の進め方や不適合を指摘した後の是正処置の方法などをセミナー形式でご説明します。
その後、実際に内部監査を実施していただく際にも同席させていただきます。
システム確立・審査フォロー
一次審査を受審するにあたり、マネジメントシステムの運用状況および記録類の見直しを行い、必要があればセキュリティポリシーの見直しを実施します。また登録審査前には一次審査で指摘された内容を中心に最終確認を実施させていただきます。
以下の計画にてご提案させて頂きます。
ISO27001認証取得に関する構築支援コンサルティングの一般的なスケジュールを以下に記載します。
| 作業項目 | 1ヶ月 | 2ヶ月 | 3ヶ月 | 4ヶ月 | 5ヶ月 | 6ヶ月 | 7ヶ月 | 8ヶ月 |
|---|---|---|---|---|---|---|---|---|
キックオフ(現状確認) |
○ |
認 証 取 得 |
||||||
情報資産洗出し |
||||||||
リスク分析 |
||||||||
ルール策定 |
||||||||
リスク対応計画策定 |
||||||||
運用開始 |
★ |
|||||||
有効性測定 |
||||||||
社員教育 |
★ |
★ |
||||||
内部監査/マネジメントレビュー |
★ |
|||||||
審査 |
申請 |
1次 |
2次 |
|||||
コンサルティングサービス(訪問) |
3回 |
3回 |
2回 |
2回 |
1回 |
2回 |
1回 |
※ 訪問回数や構築期間は支援先の規模や状況などにより異なります。
| 取得支援プラン | お客様作業内容 | 弊社支援内容 |
|---|---|---|
情報資産の洗い出し支援 |
社内にある情報資産を全て洗い出してください。 | 社内の情報資産についてどこに何があるかサンプルをご提示し、洗い出し方法をご説明します。 |
リスク分析支援 |
洗い出した情報資産を取り扱い上、どのようなリスクが発生するか、そのリスクが御社にとってどのくらいのリスクなのか数値化してください。 | どのようなリスクが発生する可能性があるか、その大きさがどのくらいのものかアドバイスします。 |
ISMS文書の作成支援 |
作成した文書のルールが御社にとって適しているかご判断ください。 | 現状分析の結果に基づいて、御社に必要なセキュリティ規程を作成します。 |
ISMS運用のための記録類作成支援 |
雛型がございますので、そちらを御社の使いやすいかたちにカスタマイズしてください。 | 御社にとって必要・不必要な書類の分類をお手伝いします。 |
内部監査支援 |
内部監査計画やチェック表を作成し、それに沿って内部監査を行ってください。 内部監査が終了したら、その内容を代表者様へ報告してください。 |
内部監査チェックリストのカスタマイズのお手伝い、代表者様へ報告するポイント等をアドバイスします。 |
教育支援 |
御社にて作成したルールを社内へ周知・徹底してください。 | 教育資料の作成支援・教育の流れについてご説明します。 |
申請・審査是正支援 |
作成した文書類をご提出いただき、審査機関からの指摘事項に対して是正を行います。 | 申請の方法をご説明し、指摘事項に対し、どのように対応していけば良いかご説明します。 |