Point of ISMS

ISMS認証取得のポイント

ISMS認証取得のポイントを、認証取得活動の流れに沿って解説いたします。

システム構築フェーズ

01. 事前確認事項

ISMS構築開始に対する、事前確認を行います。
作業スケジュールおよび実施環境の確認を行うとともに、関係者への協力を要請します。
なお、この時点で「情報セキュリティ基本方針」を作成。

02. 組織的、人的、物理的対策

組織的、人的、物理的管理規程は、比較的現状をもとに作成しやすいため、情報資産の洗い出し作業の前に作成することが可能です。管理規程は、リスクアセスメント後に見直しを行います。

03. リスクアセスメント

ISMSでは、この「リスクアセスメント」が一番のポイントとなります。
組織にある情報資産を洗い出し、評価および分析を行います。
この結果をもとに、対応策を検討および決定します。
このリスクアセスメントを受け、リスク対応計画、技術的および処置に関する具体的対策を規程として作成します。

04. 適用宣言書

「適用宣言書」の作成は、ISO27001要求事項で作成することが要求されています。

05. 他の管理規程

マネジメントシステムを運用する上での管理規程を作成します。
他の規程よりも後に作成する必要はありませんが、リスクアセスメントにて対応策が決定した後に、全規程の見直しとともに作成することをお勧めします。

システム運用フェーズ

06. 各種規程の社内説明

使用する社員に、作成した各種規程の内容を説明します。
社員の協力なくしては、スムーズな運用は困難でしょう。
必要であれば、教育も実施しましょう。

07. 適合性

関連法規制への遵守状況を確認する。
遵守すべき法規制、法規制に対する記録、計画されたセキュリティ目標の達成度。それぞれを確認します。

08. 事業継続計画の策定

事業継続性のための計画を立て、実際にテストをし、その効果を測定します。

09. 内部監査員の育成と実施

内部監査員の選定条件などを明確にし、必要な教育などを実施の上、選定します。選定された内部監査員にて、内部監査を実施します。
内部監査の実施記録は、認証取得の際の審査において非常に重要な書類となります。

10. マネジメントレビューの実施

経営者が運用状況を評価・分析・改善を指示する。
どのような記録をもとに評価するのか。また分析方法などに関しても検討すると良いでしょう。

｜コンサルティング｜ISMSのポイント｜プライバシーマークのポイント｜最適なプラン｜コンセプト｜取得までの流れ｜無料ご相談｜事例紹介｜

コンサルティング・トップページへ

ページの先頭へ

コンサルティング　トップページ