30分でわかる!ISO27001(ISMS)取得・更新ガイド

ISO27001(ISMS)取得・更新ガイドについて

このサイトは中小企業様向け支援実績、業界トップレベルのワークストラストが、ISO27001(ISMS)の取得をご検討、または、更新準備を予定しているご担当者様に取組み、審査、維持・更新に関わる情報を掲載しています。

詳しい内容は をクリック

ISO27001(ISMS)の取組み

ISO27001(ISMS)取得をするためには適用範囲の決定、情報資産の調査、リスク分析を行い、規程を作成します。そして、その規程にしたがって社内で運用を行い記録を残します。
この期間は4か月程です。

  • 適用範囲の決定
  • 情報資産の調査
  • リスク分析
  • リスク対応
  • 目的と計画
  • 教育
  • 規定作成
  • 運用開始
  • 監視測定
  • 内部監査
  • マネジメントレビュー
ISO27001(ISMS)の取組み

ISO27001(ISMS)の審査

ISO27001(ISMS)取得をするためには、第1段階審査と第2段階審査の2ステップがあります。
第1段階審査は、お客様のマネジメントシステムが規格要求事項を満足しているか、その内容はお客様の組織に適切であるか、また、運用が開始されPDCAサイクルが回っていることを確認されます。
第2段階審査は、各部門におけるマネジメントシステムの実行状況を確認され、指摘があった場合、是正することで認定に至ります。
この期間は3か月程です。

  • 審査機関の選択
  • 審査の申し込み
  • 予備審査
  • 第一段階審査
  • 第二段階審査
  • 是正処置
  • 判定会議
  • 認定
ISO27001(ISMS)の審査

ISO27001(ISMS)の維持・更新

ISO27001(ISMS)維持・更新をするためには、取得時に定めた運用を行い、その記録を残します。
定期的に行うことは、法令一覧、資産目録、リスクアセスメントシート、リスク対応計画、目的達成度の評価等の見直しです。
また、年に最低1回は実施しなければならない、従業員教育、内部監査、代表者による見直しもあります。

  • 関係法令の見直し
  • 情報資産の見直し
  • リスク分析の見直し
  • 目的達成の評価
  • 定期的な教育
  • 継続的な監視測定
  • 定期的な内部監査
  • 定期的なマネジメントレビュー
ISO27001(ISMS)の維持・更新

ISO27001(ISMS)よくあるご質問

ISO27001(ISMS)アドバイス

  • ISMS運用代行業者に注意

    「ISMS新規取得が月々たったの2万5千円で」「しかも御社でやってもらう必要はありません!」とアピールする運用代行業者があります。※あえてコンサル会社とは言いません。運用代行業者です。
    ご担当者の「面倒なことは丸投げしたい・・・」と思う気持ちに、つけこんだ絶妙なアピールです。
    しかし、まともなコンサル会社はすべてを請け負うようなことはしておりません。

    「ISMS運用代行業者に注意」の詳しい説明はこちら

  • ISO27001助成金情報

    ISO27001取得に伴う助成金制度は日本全国にありますが、特に東京は多いです。
    区内に本社があるお客様は利用をお勧めします。

    「ISO27001助成金情報」の詳しい説明はこちら

  • ISMSコンサル会社にはブラック企業も

    コンサル会社はお客様の知識がないことをいい事に、不安をあおり、そこにつけこむような説明をしている場合もあります。
    例えば、「当社は現地審査に御社の社員として質疑応答まで対応します」とアピールしているコンサル会社があります。
    ISO審査制度として、現地の審査での第三者の同席してもかまいませんが、発言は禁止、審査員から了解を得た場合のみ発言可能です。

    「ISMSコンサル会社にはブラック企業も」の詳しい説明はこちら

  • 実績のあるISMSコンサル会社を探すには

    ネット検索でなるだけ上位に表示されている会社は実績が多い傾向があります。
    と申しますのは、ネットの世界ではアクセス数が多いサイトが上位にくるようになっています。
    当社の営業感覚としても、上位に表示されている会社は、実績が多く、特長のあるサービスを展開している印象があります。

    「実績のあるISMSコンサル会社を探すには」の詳しい説明はこちら

  • ISO27001取得後の維持・運用を楽にする

    ISMSの審査は毎年あります。
    初めてお問合せいただくお客様から「取得した後、維持・運用が出来ていない!」という声をよく聞きます。

    「ISO27001取得後の維持・運用を楽にする」の詳しい説明はこちら

  • ISMSを効率的に取る方法

    ISMS取得は開始してから数ヶ月にもかかるものです。
    しかもご自分の仕事をかかえながら、確実に進捗させなければ申請さえ難しくなります。

    「ISMSを効率的に取る方法」の詳しい説明はこちら

  • 自社だけで取るべきかコンサル会社に依頼するか

    自社で頑張って取得をするかコンサルタントに依頼するかは悩むところです。
    ちなみに、当社が過去、取得事業者向けにアンケート調査をしたところ、自社のみでの取得は4%でした。

    「自社だけで取るべきかコンサル会社に依頼するか」の詳しい説明はこちら

  • キックオフで社内の協力体制を得る

    ISMS取得活動は担当者がいても、その方だけでは全ての作業や判断をすることは難しいと思います。
    そんな時は担当者の方が他の人に相談や判断をしてもらったりするわけですが、ここでは社内協力体勢がキモとなります。
    それには活動初期段階で社内でキックオフを開くのがよいでしょう。

    「キックオフで社内の協力体制を得る」の詳しい説明はこちら

  • ISO27001更新は自力で可能か

    よく「ISMS維持、更新は自社のみで可能か?」とご相談を受けることがあります。
    (正直、取得されていないお客様は、そもそもやるべきことがお分かりにならないので、このご質問への回答は一言では難しいのですが・・)
    基本は可能です。

    「ISO27001更新は自力で可能か」の詳しい説明はこちら

ISO27001(ISMS)附属書Aのわかりやすい解説

  • 附属書Aとは

    ISO27001(ISMS)附属書Aには、組織がかかえている情報セキュリティ上のリスクを軽減するための管理目的と、その管理目的を達成するための管理策が示されています。
    2013年度版の附属書Aは、大きく14の分類と、その分類の下に35の管理目的、さらにその目的を達成するための114項目の管理策という構成です。

    「附属書Aとは」の詳しい説明はこちら

  • A.5 情報セキュリティのための方針群

    情報セキュリティ実施のための具体的な方針群(ルール)を定めることになります。適用宣言書を作成する上で、必要なルールが明確に規定されます。規定した方針群(ルール)は定期的に見直す必要があります。

    「A.5 情報セキュリティのための方針群」の詳しい説明はこちら

  • A.6 情報セキュリティのための組織

    ISMSの責任者と役割を決定します。
    トップマネジメント、ISMS管理責任者など、具体的にはISMSマニュアルで定義します。不注意や不正を防止するために、職務権限を分離します。例えば、情報システムの開発者と運用者、情報システムのユーザーと承認者です。

    「A.6 情報セキュリティのための組織」の詳しい説明はこちら

  • A.7 人的資源のセキュリティ

    選考された従業員(契約相手)には就業前に情報セキュリティ関する遵守事項を提示し、契約しなければなりません。例えば誓約書や機密保持契約書などがあります。

    「A.7 人的資源のセキュリティ」の詳しい説明はこちら

  • A.8 資産の管理

    リスクを管理するためには、資産管理状況を確認できる資産目録を作成します。資産の利用者の範囲や、アクセス権、保管場所などを定めます。

    「A.8 資産の管理」の詳しい説明はこちら

  • A.9 アクセス制御

    物理的なアクセスと論理的なアクセスについて、対策を検討し、ルールを定めます。
    ユーザーIDは利用者個々に割り当てなければなりません。退職や異動などでIDが無効になるときも確実に処理が行われるように手順を定めます。

    「A.9 アクセス制御」の詳しい説明はこちら

  • A.10 暗号

    暗号化をする場合、情報の重要度に応じて強度を設定します。暗号化の方式には、共通鍵と公開鍵の2つがあり、暗号鍵の管理の仕方も異なります。

    「A.10 暗号」の詳しい説明はこちら

  • A.11 物理的及び環境的セキュリティ

    社内のレイアウトからセキュリティ区画を定義します。境界には入退室の記録を行います。オフィスや施設が不正侵入されないように、設計します。
    例えば、サーバ室は外部から見えない場所、入り口から遠い場所に設置するなどです。

    「A.11 物理的及び環境的セキュリティ」の詳しい説明はこちら

  • A.12 運用のセキュリティ

    情報処理設備や通信設備は、起動、停止、バックアップ、リストア、障害回復処置など一定の手順がわかるような手順書を作成しましょう。
    サーバやネットワークの性能や容量、速度などをモニタリングし必要な対策をとらなければなりません。

    「A.12 運用のセキュリティ」の詳しい説明はこちら

  • A.13 通信のセキュリティ

    ネットワーク上の不正アクセス、不正利用を防止するための対策を実施します。例えばネットワークのログイン管理、接続機器の制限、盗聴対策、ルーティング制御、ネットワークの分離などがあげられます。
    ネットワークサービスはセキュリティ機能やサービスレベル(障害復旧時間)などを明確にし、合意書に盛り込みます。

    「A.13 通信のセキュリティ」の詳しい説明はこちら

  • A.14 システムの取得、開発及び保守

    組織のソフトウェア、情報処理設備、通信サービスには情報セキュリティの要求事項を分析し、設計に対する要求をまとめ、仕様に含めなければなりません。サービスの安全性、要求通りのサービス提供、望まない結果を防止するためにトランザクションに含まれる情報は保護しなければなりません。

    「A.14 システムの取得、開発及び保守」の詳しい説明はこちら

  • A.15 供給者管理

    供給者とは外部委託先(ASP、クラウド、通信サービス、宅配、ビル管理、廃棄業者等)のことです。外部委託先が資産にアクセス可能な場合、資産の安全管理や保護を要求します。アクセスしない場合であっても無断でアクセスしないように周知徹底が必要です。

    「A.15 供給者管理」の詳しい説明はこちら

  • A.16 情報セキュリティインシデント管理

    インシデントが発生した際の報告手段、社内体制、連絡先などの手順を定めます。
    インシデントにつながるかもしれない事象(ヒヤリハット)を迅速に管理者へ報告することにより、大きな事件を予防することにつながります。

    「A.16 情報セキュリティインシデント管理」の詳しい説明はこちら

  • A.17 事業継続マネジメントにおける情報セキュリティの側面

    地震火災水害でデータが消滅してしまったり、通信サービスが途絶えてしまったときに事業が継続できず困ってしまわないように、優先度の高い事業から速やかに復旧できるような計画を作成します。

    「A.17 事業継続マネジメントにおける情報セキュリティの側面」の詳しい説明はこちら

  • A.18 順守

    順守すべき法令を特定し、文書化し、最新の状態にしておきます。ソフトウェアのライセンスや知的財産権のあるソースコードは管理しなければなりません。
    個人情報は、個人情報保護法や規制に基づき保護しなければなりません。

    「A.18 順守」の詳しい説明はこちら

ISO27001(ISMS)よくある指摘と是正について

ISO27001(ISMS)リンク集