よくあるご質問

  1. Home
  2. よくあるご質問
  3. ISO27001を取得するには?

ISO27001を取得するには?

ISO27001(又はJISQ27001)に準拠した情報セキュリティマネジメントシステム(ISMS:Information Security Management Systemの略)と呼ばれる「方針、組織、計画、実施、点検・評価及び改善といった一連のサイクルを繰り返すマネジメントシステム」の構築が必要です。もう少し具体的にいうと、下記のような事項を行う必要があります。

  1. 情報セキュリティに取り組む際の基本的な考え方や方針をまとめる。
  2. 情報セキュリティの推進組織を作る。
  3. 重要な情報とそれに対する危険や問題を洗い出す。
  4. 危険や問題に対する対策を考える。考えた結果は、守るべきルールとして文書化する。
  5. 守るべきルールを教育する。
  6. ルールどおり対策を実施する。
  7. ルールどおり実施できているか、点検する。また実施した対策が危険や問題に対して効果があったか評価する。
  8. 点検及び評価結果に基づき対策やルールを改善する。

また、情報セキュリティマネジメントシステム構築から認証取得までの大まかな流れは、以下のとおりです。

  • ISO27001を取得するには?の画像

(1)ISMSを構築し運用を開始します。

(2)審査登録機関を選定し、契約します、また今後の審査日程を調整します。

(3)(4)審査は、2段階で行われます。審査(Stage1)では、主にISO27001に準拠したルールが整備されているかの確認が行われます。また審査結果は書面で報告されます。

(5)(6)重大な欠陥があれば改善後、審査(Stage2)進みます。なければ、日程を調整し、そのまま審査(Stage2)に進みます。また、重大な欠陥以外の指摘に対する改善を行います。

(7)(8)審査(Stage2)では、ルールどおり実施されているかどうかの確認が行われます。また、合わせて審査(Stage1)指摘の改善状況の確認も行われ、審査結果は書面で報告されます。

(9)(10)審査指摘に対する改善計画を作成し提出します。(改善状況の確認については、認証後の維持審査で行われます。)

(11)(12)これまでの審査結果及び改善計画が評価され問題なければ、認証取得の連絡があり、正式な認証書が送付されてきます。

是非以下のリンクから詳しいサービスをご覧ください。