ISO/IEC 27001(ISMS)認証取得支援サービス
ISO/IEC 27001:2013(JIS Q 27001:2014)に基づきISMS認証取得を支援するコンサルティングサービスを行います。
ISMS(Information Security Management System)適合性評価制度は、ISO/IEC 27001:2013(JIS Q 27001:2014)を認証基準とした情報セキュリティマネジメントに対する第三者認証制度です。ISMSとは組織のマネジメントとしてリスクアセスメント方法を定め、計画、運用、評価、改善のプロセスを通じて、組織の情報セキュリティリスクを適切に管理できていることを外部(顧客等の利害関係者)に示し、外部からの信頼を得るための仕組みです。
ISMSの導入支援
組織の内外の状況や利害関係者のニーズおよび期待の理解に基づくISMS適用範囲の検討や、リスク分析手法の確立について、豊富なISMS認証取得支援実績に基づきアドバイスします。
ISMSの導入の重要ポイントとなるリスク分析は、弊社よりご提供するリスク分析手法のサンプルによりお客さま自身に行っていただきますが、分析に偏りがなく重要リスクが抜け落ちないようアドバイスいたします。これによりリスク分析プロセスがお客さま組織に無理なく定着することを目指します。
左右スクロールで表全体を閲覧できます
| 支援項目 | 検討内容 | 成果物例 |
|---|---|---|
| ISMS導入推進体制確立 | 組織へのISMS導入を推進するための、メンバー選定、対応スケジュールを策定します。 | ISMS推進体制表 ISMS推進スケジュール表 |
| 現状把握・ISMS適用範囲定義 | 組織の外部および内部の課題、利害関係者の情報セキュリティに関連する要求事項等を明らかにします。ISMSの適用範囲の検討を行います。 | 現状把握シート ISMS適用範囲定義書 |
| ギャップ分析 | 組織の情報セキュリティ対策の現状を把握します。 | ギャップ分析シート |
| 資産の洗い出し・リスク分析 | 資産の洗い出しを行います。リスク分析方法を確立し、リスク分析を実施します。 | 資産洗出しシート 資産洗出し手順書 資産台帳 リスクアセスメント手順書 リスクアセスメントシート リスクアセスメント結果報告書 |
| 情報セキュリティ基本方針の作成 | 情報セキュリティ目的を明らかにし、整合した情報セキュリティ方針を作成します。 | 情報セキュリティ基本方針 |
| 情報セキュリティリスク対応計画の作成 | 情報セキュリティリスク対応のための管理策を選定し、 適用宣言書、情報セキュリティ対応計画を策定し、リスク所有者の承認を得ます。 | 適用宣言書 リスク対応計画 リスク対応結果報告書 |
ISMSの運用支援
導入したISMSを適切に運用するための運用計画を立案し、情報セキュリティ管理策の導入、ISMS関連文書の整備を行います。ISMS関連文書の文書サンプルをご提供します。
管理策の導入においては、これまでに行われてきたセキュリティ対策を活かしながらより適切な運用を行えるようアドバイスします。組織人員のレベルに合わせて、教育研修コンテンツを作成提供します。ご要望に応じて教育研修の講師を務めることも可能です。
左右スクロールで表全体を閲覧できます
| 支援項目 | 検討内容 | 成果物例 |
|---|---|---|
| 計画および管理 | ISMSの運用、評価・改善の計画を策定します。 | ISMS年度計画 |
| ISMS文書類の整備 | ISMSに必要となる文書(手順、様式類等)を整備します。 | ISMS PDCA手順書 |
| 情報セキュリティ管理策の導入 | 選定した管理策と整備した文書類をISMSの適用範囲に導入します。 | 情報セキュリティ基準 情報セキュリティ手順書 |
| 教育研修 | 要員の力量を向上するための教育研修コンテンツを整備し、教育研修を実施します。 | 教育研修計画 教育研修コンテンツ 教育研修記録 |
ISMSの評価改善支援
導入した管理策が実際に行われているか、導入した管理策が適切に機能し情報セキュリティ目的が達成されているかどうか、ISMSが全体として有効であるかの評価(チェック)を行い、必要に応じて目的、計画、運用管理の見直しを行います。評価(チェック)の項目、方法等は、規格の要求を踏まえて設計しますが、情報セキュリティマネジメントに関する豊富なコンサルテーション実績を踏まえてご支援します。
導入したISMSの運用状況を踏まえ、審査時の審査員からの質疑応答を想定した演習を行い審査に備えます。
左右スクロールで表全体を閲覧できます
| 支援項目 | 検討内容 | 成果物例 |
|---|---|---|
| パフォーマンス評価 | 情報セキュリティパフォーマンス評価の手法を確立し、評価を実施します。 |
パフォーマンス評価手順書 パフォーマンス評価シート パフォーマンス評価報告書 |
| 内部監査 | 内部監査を実施します。不備事項や改善が望ましい事項が見つかった場合見直し改善を検討します。 |
内部監査手順書 内部監査シート 内部監査報告書 是正処置報告書 |
| マネジメントレビュー | マネジメントレビューを実施し、ISMSの変更の必要性等を検討します。 |
マネジメントレビュー手順書 マネジメントレビューシート マネジメントレビュー報告書 是正処置報告書 |
| 審査準備 | 関係者の方々に審査の模擬演習を行っていただきます。 |
想定問答集(責任者用) 想定問答集(一般職員用) |