ISMS(ISO27001)取得の流れとスケジュール:7ステップ


ISMS(ISO27001)取得のスケジュールは、大きく7つのステップで考えていくと良いです。社内の責任者を決め、取得期日を決めることから始めましょう。本記事では、ISMS(ISO27001)取得のスケジュール、全体の流れをご紹介していきます。

ISMS(ISO27001)取得の流れと期間

まず、ISMS(ISO27001)取得の流れについてです。
下記の通り、ISMS(ISO27001)を取得するスケジュールは7ステップあります。
キックオフから取得完了までの期間は、早くて6か月、長くて1年程度かかります。

(1)取得までの計画を立てる
   ↓
(2)情報セキュリティマネジメントシステムを構築する
   ↓
(3)ISO27001を運用する
   ↓
(4)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
   ↓
(5)審査を受ける(一次審査)
   ↓
(6)審査を受ける(二次審査)
  ↓
(7)認証取得完了

次に、この7ステップについて1つずつ説明していきます。

(1)取得までの計画を立てる

まず、取得の計画を立てる流れを確認しましょう。

①社内責任者の選定

ISMS(ISO27001)の取得する際の社内責任者を選定しましょう。
本業とは違う仕事が発生するので責任の所在をはっきりさせるためにも選定しておきましょう。

②取得期日を決める

いつまでに取得したいのかを決めましょう。
いつでも計画やスケジュールはゴールをイメージしてやると良いです。

また、ISMS(ISO27001)の取得のゴールとして、認証が取れたという状態なのか、
認定証が手元に届いたことをゴールにするのかによって取得期日に多少のずれが出るので、正確に把握するようにしましょう。

③審査機関の選定

審査機関の選定をしましょう。
ISO自体は国際規格ですから、
どの審査機関で取得しても差はないはずです。
しかし、お客様や親会社から審査機関や認定機関を指定されるようなこともあるので、
審査機関は選定しておきましょう。

特に指定がない場合には比較検討するのが良いです。

④内製かアウトソースかの意思決定

内製かアウトソース(コンサルタントなど)に依頼するかをきめましょう。
組織内のリソースだけでは足りなかったり、専門性が高くてやりきれないことは、アウトソースことも視野に入れた上でどうするか決めましょう。

なお、コンサル選びのポイントについてはこちらの記事で詳しく書いております。

⑤予算決め

ISMS(ISO27001)を取得するにあたって審査費用や人件費、コンサルタント費用などが、
かかってきます。

費用のイメージと予算を見ておくと良いでしょう。

ISMS総研では、スケジュール管理も含めたISMS(ISO27001)の取得サポートを行っております。
実際のお客様のお声もご覧いただけますのでぜひご一読ください。

お客様のお声
記録管理の手伝いやスケジュール管理もしてくれるので、兼務でも負担なくISMSの維持・運用ができます

(2)情報セキュリティマネジメントシステムを構築する

ISMS(ISO27001)を取得をするまでに文書構築が必要になります。
例えば、適用宣言書と呼ばれるものなどが必要になります。
ISMS(ISO27001)の運用に関わるマニュアルや安全管理のための規程を作ることが多いので、
準備するようにしましょう。

(3)ISO27001を運用する

ルールが決まり文書ができた後は実際にマネジメントシステムの運用に入ります。
実際の運用に関しては活動の結果を証拠として記録を残す必要があります。
例えば、情報資産を一覧にした台帳やリスクアセスメントの結果などです。
審査でも記録類の確認をされるので準備しましょう。

(4)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)

運用が進むと次は内部監査とマネジメントレビューです。
ISMS(ISO27001)を取得するには内部監査・マネジメントレビューの実施が必要になるので、
計画的な実施と実施結果を記録に残すようにしましょう。

(5)審査を受ける(一次審査)

マネジメントレビューまで完了したら、ついに審査にのぞむことになります。
新規取得をする場合には2回の審査があり、1回目の審査は文書類の審査となります。
ここまで作ってきた文書類や記録類を確認してもらい、二次審査を受けられるかどうか、
のチェックをされます。

(6)審査を受ける(二次審査)

一次審査が終わると二次審査、いわゆる現地審査を迎えます。
実際の仕事内容や現場をチェックしてISMS(ISO27001)の認証ができる状態かを見られます。
ここでは一次審査での結果対応の内容も見られますので、二次審査までに対応を終えておくようにしましょう。

認証取得完了

二次審査を終えて審査機関のOKが出るとついに認証になります。
認定証が手元に届きます。同時に認証のマークも届きますので、名刺やホームページに掲載していくようにすると良いかと思います。
認定証が届いたら終わりではありません。早速ですが、次年度の審査までの段取りを始めましょう。
取得できて安心し、油断してたら何もしないうちに次の審査を迎えたといったことがないように進めるようにしましょう。
ISMS(ISO27001)の運用については、こちらの記事に書いておりますので、参考にしてみてください。

  • お客様の声
  • 無料プレゼント

カテゴリー: