ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
ISMS(ISO27001)を認証取得したらそこで終わりではなく、要求事項に沿って継続的に運用していく必要があります。ISMSを適切に運用することで、組織の情報資産を守り、リスクを管理・軽減できます。
現代においては、データ漏洩、不正アクセス、マルウェア感染、フィッシングなど多岐にわたるリスクが存在するため、ISMSの重要性がますます高まっていると言えるでしょう。
INDEX
ISMSの運用はPlan-Do-Check-Act(PDCA)サイクルに基づいて行うのが一般的です。
以下に、ISMSの基本的な運用の流れを示します。
ISMS運用スケジュール、ISMS運用マニュアル、情報セキュリティポリシー、情報セキュリティ関連規程等に従った運用を実行します。
ISMSの運用には以下のような活動が含まれます。
予め定めた間隔で、情報セキュリティ対策の実施状況等を評価します。
以下のような指標を設定し、監査を実施します。
上記の「(3)Check」で確認した結果について、マネジメントレビュー等を通じて、改善事項を決定します。
ISMS認証のためには、従業員に対する教育、定期的な点検・監査、外部審査の受審が必要となり、従業員の情報セキュリティに関する意識向上が期待できます。
また、ISMSでは国際標準に則ったセキュリティの確保が必須となり、運用面・システム面でのセキュリティの向上にも期待できます。
ISMS認証を取得することで、自社のセキュリティ管理体制が国際基準に準拠していることが、第三者によって証明されることになります。
自治体や大手企業などでは、取引先の選定基準に ISMS 認証取得が条件になっていたり、加点ポイントになっていたりするケースもあります。
ISMS 認証を取得することにより、自治体や大手企業の受注率が上がることに期待できます。
ISMSの有効期間は3年です。
しかし、ISMSの認証を継続するためには、基本的に1年に一度審査を受ける必要があります。
審査には「維持審査(サーベイランス審査)」、「更新審査(再認証審査)」の2種類があります。
ISMS認証を取得した後の審査スケジュールは以下の通りです。
以降は、維持審査を2回行った後に更新審査を1回行うサイクルを繰り返します。
維持審査の目的は、運用上の問題がないかどうかの確認となるため、初回審査のように多くの工数や手間がかかるわけではありません。
一般的には、更新審査よりも短い日数で審査が行われます。
更新審査では、過去3年間の運用を対象とした審査が行われるため、一般的には維持審査よりも審査日数が増えます。
更新審査でISMS認証の維持に問題がないと判断されると有効期限が3年延長されたISMS認証が発行されます。
ISMSを新たに取得する際には、認証取得という明確な目標があるため、多くの組織がしっかりと運用に取り組む傾向があります。
しかし、一度認証を取得すると、その後はISMSの優先順位が低下してしまう組織が多いのも現実です。
以下にISMS運用時のよくある課題を挙げてみました。
ISMS(ISO27001)の認証を取得した後も、それで終わりではありません。要求事項に従って継続的に運用を続けることが求められます。ISMSを適切に運用することで、組織の情報資産を保護し、リスクを管理・軽減することが可能です。
現代においては、データ漏洩、不正アクセス、マルウェア感染、フィッシングなど、多岐にわたるリスクが存在しています。そのため、ISMSの重要性はますます高まっていると言えるでしょう。
ISMSをこれから取得する組織も、ISMSを既に取得している組織も各々で抱える課題は違います。
課題を解決するためには、セミナーに参加する、ISMSの審査員から情報を入手する、コンサルに相談する等々、外部からの刺激を加えるのも1つの手法です。
株式会社スリーエーコンサルティングでは、無料の相談も行っているので、お気軽にご連絡ください。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。