Pマーク・ISMS丸わかり!初心者ガイド

ISMS取得までの流れは?PMS構築から取得までの6つステップ

マネジメントシステムの認証であるという点でISMS認証の取得の流れは、プライバシーマークと共通するものとなっています。

ISMSも、ただ必要書類をそろえていきなり審査を受けるということはできません。 まず自社でマネジメントシステムを構築し、実際に運用してPDCAを回してから、その 結果を踏まえて申請書類を準備することになります。

本記事ではISMSの取得までの流れついて詳しく解説していきます。

ISMS取得の流れ STEP1 適用範囲の決定と情報セキュリティ基本方針の作成

ISMS取得に当たってまず決めなければならないのは、認証を取得する範囲です。これは、全社の範囲ですべての個人情報を対象とすることがあらかじめ決まっているプライバシーマークの場合にはない作業です。

全社とすることもできますが、特定の部署や拠点、あるいは特定のシステムなど、範囲を限定することができます。プライバシーマークは法人全体で全従業者を網羅して行動のルールを決めるものです。必ずしも全社の規模で認証取得が必要でなければ、絞り込んだ 方が取得業務は楽になります。また付属研究所、分院といった単位ではプライバシーマー クの取得はできないので、この点からISMSが選択される場合もあります。

適用範囲を決めたあと、情報セキュリティに取り組む理由や目的、それを通して何を実現したいか、といった基本方針をまとめます。

Pマーク取得の流れ STEP 2 情報資産の洗い出しとリスクアセスメント・実施手順(マニュアル)の作成

情報セキュリティの対象となる情報資産をすべて洗い出し、それぞれについてどのようなリスクがあるかを明確にします。さらにそのリスクに対して、どのような対応策を取る のかを決定します。策定したリスク対応策を具体的なマニュアルとして作成し、実際に社 内で情報マネジメントシステムを運用するための体制を整えます。

Pマーク取得の流れ STEP3  パフォーマンス評価と内部監査、マネジメントレビューの実施

ISMSを運用しながらそれが適切に行われ有効性を発揮しているかどうか、そのパフォーマンスを評価します。情報セキュリティの達成状況、リスク対応計画の実施状況、 教育・訓練の実施状況などの評価を行い、内部監査員による内部監査を実施し監査報告書をまとめます。さらにこの監査報告書に基づき事業の代表者によるマネジメントレビュー を実施し、改善指示書を作成、次のサイクルにつなげていきます。

Pマーク取得の流れ STEP4 ISMSの改善

実際の運用を通じて明らかになったISMSの不適合に対しては、プライバシーマークと同様、認証の基準に則り、実際に運用に合わせた是正処置および継続的な改善処置の決定を行い、実施します。その実施についても有効性の評価を行い、必要に応じてISMS の変更を行います。

Pマーク取得の流れ STEP5 申請書類の作成と申請

ここまででISMSの策定から運用・評価・改善というPDCAの1サイクルが終了したことになります。このあとに、審査機関を自分で選ぶ必要があります。

認証を取得しようとする事業者は、まず自社に適当と思われる審査機関を選び、申請・ 契約を行います。規模や実績、審査費用も異なるので、事業案内や見積書なども取り寄せながら、比較検討のうえ、自社に合った審査機関を選定することになります。

審査機関が自由に選ばれることを反映して、ISMSの認定シンボルマークは、単独ではなく、常に審査機関のマークとセットで掲出されることになっています。

審査機関に提出する申請書類は認証を受けようとする範囲によって、また、審査機関によっても詳細は異なります。基本的には自社の事業内容や組織体制、システム構成やネッ トワークを明らかにしたもの、情報セキュリティのために組み上げたマネジメントシステ ムについての基本方針や詳細な仕組み、運用体制、マニュアル、さらに実際に運用の状 況、教育実施サマリー、内部監査実施サマリー、マネジメントレビューなどが必要になります。

Pマーク取得の流れ STEP6  2段階審査

申請書類が形式審査によって不備がないと確認されれば、申請が受理され、審査機関による審査が始まります。具体的な審査日数や審査工数は、認証範囲や審査機関の規模など によって異なりますが、審査が2段階で行われる点は共通です。

第1 段階の審査は書類審査です。提出した書類に記載された情報セキュリティマネジメントシステムがISO/IEC27001の要求事項を満たしているかどうかが確認され、問題がなければ、第2段階の審査に進みます。

第2段階の審査では、代表者に対する聞き取りやマネジメントシステムを実際に動かす各部門の現場の実施状況がどうなっているか、実施状況が詳細に審査されます。

審査終了後、現場で指摘された不適合や問題点があれば改めて文書でその内容が通知されるので、どのように改善するか是正措置を書面でエビデンスとともに報告します。その内容が問題なしと認められれば、晴れて認証の取得となります。 審査機関が申請を受け付けてから2段階の審査を実施し、認証・登録となるまで、最短でも3~4カ月は掛かります。申請前の、マネジメントシステムの構築とその運用に3カ 月程度は必要ですから、認証取得を目指して具体的に動き出してから認証取得までは半年 から1年程度を見込むことが必要になります。

認証取得後は、認証の信頼性を維持する目的で、年に1回のサーベイランス審査と、3 年ごとの認証の有効期限を更新するための全面的な審査が行われます。

関連記事

監修者紹介

仲手川 啓

仲手川 啓Nakategawa Kei

株式会社ユーピーエフ代表取締役

Pマーク(プライバシーマーク)、ISMS(ISO27001)の新規取得や更新通過支援を累計2500社以上の支援実績を有する情報セキュリティーコンサルティング会社代表。(※2022年10月現在)
独自の最新の進行管理ツールや低価格での支援スタイルから口コミ、紹介での取引開始を中心に、IT・人材系ビジネスのスタートアップから大企業まで幅広い層からの支持を集め現在業界トップシェア。
同社は「経営者がおすすめのPマークコンサル会社部門1位」、「Pマーク取得コンサルアフターフォーロー満足度部門1位」、「医療関係者に最も選ばれるPマークコンサル会社部門1位」、「上場企業従事者に最も選ばれるPマークコンサル部門1位」を受賞している。(※調査企画:日本マーケティングリサーチ機構)

ご不明な点がありましたら、
お気兼ねなくお問合せください。