ISMS導入支援

セキュリティの事始めから、ISMS認証取得まで

はじめに

セキュリティ事始め

情報セキュリティマネジメントシステム(ISMS)の認証取得には、経営陣のコミットメントとISMS事務局を含めた体制作りと意識改革は不可欠です。認証取得が目的であっても、そこがゴールではなく出発点でもあります。何故、セキュリティが重要なのか。マネジメントシステムとは何か。まず、何をすればよいのか。40年に渡るIT現場での経験と、IPAのセキュリティプレゼンター、ISMS審査員として審査の現場での経験から、経営者、ISMS事務局、社員の皆様が抱く「今更、他人に聞けない素朴な疑問」などに、一つ一つ丁寧にお答えしながら、御社の情報セキュリティの強化を支援させていただきます。ISMS認証では、マネジメントシステムとしてPDCAが回っていることを確認します。このため、ISO/IEC27001の規格を文面だけを捉えるのではなく、行間や背景に流れる「心」をお伝えしながら、御社に最適な管理策をご提案させていただきます。

情報セキュリティ事始め
 小さな組織の場合、IPAの「SECURITYACTION」から始めるのも良いかも知れません。 
 ・「情報セキュリティ5か条」 
 ・「5分でできる!情報セキュリティ自社診断」

先ずは、「導入編」をご覧ください

情報セキュリティマネジメントシステム(ISMS)とは何か?
どのように取り組めば良いのか?

準備とISMS認証取得流れ

準備
isms1
ISMS認証取得の準備:マネジメントシステム構築(PDCAが回る仕組み)と運用実績
 ①経営者のコミットメント
  目的と目標[文書]
  情報セキュリティ基本方針(情報セキュリティポリシー)策定[文書]
  ISMS事務局の発足
 ②ISMS事務局主導によるマネジメントシステム構築
  体制(役割、責任、権限)[文書]
  適用範囲決定[文書]
  役割り分担と年間計画策定[文書]
   部門別計画策定[文書]
   リスクアセスメント実施方針[文書]
   内部監査方針[文書]
  情報資産の洗い出し
   情報資産管理台帳を策定[文書]
   情報資産に基づく、リスクアセスメント実施(リスクの特定、分析、評価)[文書]
  関連文書の棚卸し
  文書体系の整備[文書]
   各種規程を策定(情報セキュリティ管理規程、運用管理規程など)[文書]
   各種手順書を策定(情報セキュリティ管理手順書、運用管理手順書など)[文書]
 ③運用開始(6ヶ月程度の運用実績)   
  年間計画の実績[記録]
  部門別計画書策定と実績[記録]
  インシデントとエスカレーション[記録]
  継続的な教育訓練[記録]
  事業継続と避難訓練[記録]
  ログの取得と分析[記録]
  各種管理台帳、チェックリート[記録]
  法令順守[記録]
  内部監査実施[記録]
   不適合及び是正措置[記録]
 ④マネジメントレビュー実施[記録] ←③の運用実績としての[記録]がインプットとなります。
  パフォーマンス評価

 ※[文書]は、初回審査の第一段階(文書審査)で審査されます。 
 ※[記録]は、第二段階(現地審査)証左記録として求められます。
 ※各文書の管理、改訂、承認などの記録は証左記録として求められます。

「準備編」をご覧ください

導入に向けた準備として、
ISO/IEC 27001の各管理策の概要を説明しています

ISMS認証取得
isms2
ISMS認証の申し込み
 審査会社選定
 審査事前打ち合わせ(日程、費用お見積りなど)
 予備審査(必要あれば)
 審査開始
  初回審査(第一段階):文書審査
   必要あれば是正措置を講じる
  初回審査(第二段階):現地審査
   必要あれば是正措置を講じる
  認証推薦
  認証判定
 認証登録
ISMSコラム
ブログへ