ISMSコンサルタント｜ISO9001,ISO14001認証取得
・他ISO取得・
　スリープロサポート株式会社

　企業はISO27001取得の意思を固めたあと、ISO27001を取得するにあたり中心となって活動するプロジェクトチーム（事務局）を発足します。情報管理責任者及び情報監査査責任者（兼任は可能）と各部署の代表で構成されるのがベストですが、人数などに制限は無く、役職、年齢を問わず幅広く人選することをお勧めします。目安としてのプロジェクトチームの人数は全社員の10％程度です。

　人選において特に重要なのが「情報管理責任者」です。情報管理責任者の力量により企業のISMSの完成度は大きく左右されます。ある程度貴社の業務内容全体を把握しており、コミュニケーション能力が高く、社員からの信頼も厚く、チームの意見をまとめられる人が適任です。

　まずコンサルティングに入る前に貴社の現状の、セキュリティ設備、セキュリティ意識、機能等をチェックします。この結果を基に、当社コンサルタントが、活動スケジュールを策定します。
　次にキックオフ宣言をいたします。ISO27001の取得活動は、全社員で取り組んでいかなければ成功しません。しかし、いざ活動を開始してみると、「プロジェクトチーム」が活動の中心となり、一部の社員だけ取り組んでいるという雰囲気が出来上がりがちです。そのため、「自分は関係無い」と考える社員が出てきてしまい、結果、全体の士気も低下、ひいては、セキュリティの脅威、認証取得の遅延、及び不完全な仕組みの構築につながります。そうならない為に、まず、全社員に「何時」から「何時まで」に「こういう理由で」ISO27001を認証する為の活動をする、という事を周知させ、共通の認識として取り組むことを徹底しなければなりません。社内報、全体会議、朝礼でもかまいませんので、活動の意義を全社員に宣言し浸透させる事がスムーズな取得活動および効果的なISMS運用に直結します。

　まず、初回コンサルティングの前に、社長単独のヒアリングを行い、「どのようなルール」を構築し「どのようなコンサルティング」を望むかを決定し、次に「ISO 27001」についての説明、取り組み方法を指導し、適用範囲や、組織体系等、基本構想を策定していきます。それをもとに「事業の特徴」、「組織」、「所在地」、「技術」の観点から情報セキュリティ基本方針を策定します。

　現状分析と同時に、プロジェクトリームを中心に、貴社における全ての「情報資産」を洗い出します。洗い出された「情報資産」をもとに「情報資産管理台帳」を作成し、詳細情報を記載していきます。

　情報資産をリストアップしたら、適応範囲の中の資産およびそれらの所有者、資産に対する脅威、脆弱性、資産に与える影響を考慮し、リスクを識別します。リスクを識別することは、リスク評価をする場合、保有情報や保有資産にどのような脅威が起こりえて、それに対し、どのような脆弱性が考えられるのか、会社がどのような影響を受ける可能性があるのかを明確にするのに役立ちます。この作業を確実に行うことによって、リスクアセスメントを適切に効率的に行うことができるようになります。

　資産価値、脅威、脆弱性からリスク値を算出します。5段階評価など、誰が見ても分かるように、リスクレベルを定義付けることが求められます。また、脅威が発生した場合、組織に与える悪影響の度合いで評価する場合もあります。企業が保護すべき情報資産について、情報の機密性、完全性、可用性をバランスよく維持し、改善していくことが重要なポイントとなります。

　これまでの活動で、対策が必要と考えられるリスクが多数浮き彫りになってきます。それに対応する為、個別の情報資産に、軽減、受容、回避、移転などの対応を決定します。次に低減を選択したリスクについて、組織にとって効果的な管理策を付属書Aより選択します。管理策は、選択した内容、選択しなかった理由を適用宣言書にまとめます。

　具体的な課題が見えてきたら、事業継続上、優先順位の高いリスクから対策を実地していきます。対策内容は、可能な限り具体的にし、リスク対応計画を作成していきます。計画の進捗・対応・結果などを管理し、確実に社内で導入していくことが重要です。

　ISO27001規格要求事項に適合したISMSマニュアル・手順書を当社がオーダーメイドで作成します。文書を作成する際には、必要最低限の文書量に抑えることが、成功の最大のポイントです。また同時に、各種記録のフォーム作成支援も行います。

　これより、実地展開がスタートします。（実地前に２週間ほどの準備期間を設けます。）導入した仕組みについて「安全対策上問題は無いか」「無理無く運用できているか」などをチェックしていきます。また同時並行して社員教育を実施し、情報セキュリティーに対する社員の意識向上を図ります。

　構築した仕組みは全社員の間で守られているのか？期待された効果をもたらしているのか？継続的改善がなされているのか？などのチェックをすために、貴社社員から監査員を選出する必要があります。これが「内部監査員」です。内部監査員の選出は、各部署から最低１人以上が望ましく、監査員は認証取得後に定期的な監査を行う義務があります。
　当社による内部監査員養成セミナーで内部監査員を育成後、実際の内部監査にも立会い指導いたします。

　審査登録機関によって審査が行われます。ご要望があれば当社コンサルタントが審査時に立会いも可能です。

　本審査の結果、審査登録機関から「不適合」が貴社に対して報告される場合があります。その場合、当社コンサルタントが完璧な是正を行います。

不適合事項に対しての是正が完了すれば、後は登録証待ちとなります。