ISO・プライバシーマーク・ISMSの認証取得・運用サポートコンサルティング ISO NEXT

Pマーク ISO27001 ISO9001 ISO14001 各種ISO ナレッジ 会社概要 tel.0120-068-268 お問合せ

ISMSのナレッジ KNOWLEDGE

CATEGORY

ISMS運用の流れとは?運用時の課題について

ISMS(ISO27001)を認証取得したらそこで終わりではなく、要求事項に沿って継続的に運用していく必要があります。ISMSを適切に運用することで、組織の情報資産を守り、リスクを管理・軽減できます。
現代においては、データ漏洩、不正アクセス、マルウェア感染、フィッシングなど多岐にわたるリスクが存在するため、ISMSの重要性がますます高まっていると言えるでしょう。

1.ISMS運用の流れ

ISMSの運用はPlan-Do-Check-Act(PDCA)サイクルに基づいて行うのが一般的です。
以下に、ISMSの基本的な運用の流れを示します。

⑴Plan(計画)

  • ・ISMS運用スケジュールの作成
  • ・ISMS運用マニュアル、情報セキュリティポリシー、情報セキュリティ関連規程等の策定・見直し

⑵Do(実行)

ISMS運用スケジュール、ISMS運用マニュアル、情報セキュリティポリシー、情報セキュリティ関連規程等に従った運用を実行します。
ISMSの運用には以下のような活動が含まれます。

  • ・情報資産のリスクアセスメント
  • ・情報セキュリティリスク対応計画の策定・実行
  • ・情報セキュリティ教育
  • ・事業継続計画(BCP)訓練の実施
  • ・情報セキュリティ関連法令の特定
  • ・情報セキュリティ対策の実施

⑶Check(評価)

日常点検

予め定めた間隔で、情報セキュリティ対策の実施状況等を評価します。

内部監査

以下のような指標を設定し、監査を実施します。

  1. 自社のISMS運用マニュアル、情報セキュリティポリシー、情報セキュリティ関連規程等がISMSの要求事項を満たしているか
  2. ISMS運用マニュアル、情報セキュリティポリシー、情報セキュリティ関連規程等に基づいて活動ができているか
  3. 有効な活動が実施できているか。

⑷Act(改善)

上記の「(3)Check」で確認した結果について、マネジメントレビュー等を通じて、改善事項を決定します。

2.ISMS運用のメリット

⑴情報セキュリティへの意識が高まる

ISMS認証のためには、従業員に対する教育、定期的な点検・監査、外部審査の受審が必要となり、従業員の情報セキュリティに関する意識向上が期待できます。

また、ISMSでは国際標準に則ったセキュリティの確保が必須となり、運用面・システム面でのセキュリティの向上にも期待できます。

⑵自治体や大手企業と取引が増える

ISMS認証を取得することで、自社のセキュリティ管理体制が国際基準に準拠していることが、第三者によって証明されることになります。
自治体や大手企業などでは、取引先の選定基準に ISMS 認証取得が条件になっていたり、加点ポイントになっていたりするケースもあります。

ISMS 認証を取得することにより、自治体や大手企業の受注率が上がることに期待できます。

プロのコンサルタントに相談する

3.ISMS運用に必要な定期審査とは

ISMSの有効期間は3年です。
しかし、ISMSの認証を継続するためには、基本的に1年に一度審査を受ける必要があります。

審査には「維持審査(サーベイランス審査)」、「更新審査(再認証審査)」の2種類があります。

ISMS認証を取得した後の審査スケジュールは以下の通りです。

  1. 1年後:維持審査
  2. 2年後:維持審査
  3. 3年後:更新審査
  4. 4年後:維持審査
  5. 5年後:維持審査
  6. 6年後:更新審査

以降は、維持審査を2回行った後に更新審査を1回行うサイクルを繰り返します。

⑴維持審査(サーベイランス審査)

維持審査の目的は、運用上の問題がないかどうかの確認となるため、初回審査のように多くの工数や手間がかかるわけではありません。
一般的には、更新審査よりも短い日数で審査が行われます。

⑵更新審査(再認証審査)

更新審査では、過去3年間の運用を対象とした審査が行われるため、一般的には維持審査よりも審査日数が増えます。
更新審査でISMS認証の維持に問題がないと判断されると有効期限が3年延長されたISMS認証が発行されます。

4.ISMS運用時のよくある課題

ISMSを新たに取得する際には、認証取得という明確な目標があるため、多くの組織がしっかりと運用に取り組む傾向があります。
しかし、一度認証を取得すると、その後はISMSの優先順位が低下してしまう組織が多いのも現実です。

以下にISMS運用時のよくある課題を挙げてみました。

⑴文書の課題

  • ・ISMSを取得する際には一生懸命に文書を確認していたが、取得後は見直しを行っていない
  • ・情報セキュリティの環境が変化しているにもかかわらず、時代に合わせた更新が行われていない
  • ・書類を大量に作成してしまい、どこに何が記載されているのか分からなくなっている

⑵内部監査の課題

  • ・ISMSを初めて取得した時から、内部監査の手法が変わっていない
  • ・ISMSの適合性の確認に重点を置きすぎて、改善に結びつけられていない
  • ・内部監査の方法を変更したいと思っても、変更すると審査に通らないのではないかという不安がある

⑶リスクアセスメントの課題

  • ・情報資産のリスクアセスメントの範囲や深さについて、どの程度まで行えば良いのかが不明確
  • ・各部門で取り扱う情報は常に変動しているものの、その変化をリスクアセスメントに適切に反映できていない
  • ・リスクアセスメントの手法が理解できず、複雑であるため、どのように改善すれば良いのかも分からない

5.まとめ

ISMS(ISO27001)の認証を取得した後も、それで終わりではありません。要求事項に従って継続的に運用を続けることが求められます。ISMSを適切に運用することで、組織の情報資産を保護し、リスクを管理・軽減することが可能です。

現代においては、データ漏洩、不正アクセス、マルウェア感染、フィッシングなど、多岐にわたるリスクが存在しています。そのため、ISMSの重要性はますます高まっていると言えるでしょう。

ISMSをこれから取得する組織も、ISMSを既に取得している組織も各々で抱える課題は違います。
課題を解決するためには、セミナーに参加する、ISMSの審査員から情報を入手する、コンサルに相談する等々、外部からの刺激を加えるのも1つの手法です。
株式会社スリーエーコンサルティングでは、無料の相談も行っているので、お気軽にご連絡ください。

プロのコンサルタントに相談する
監修者

このナレッジの監修者

結石 一樹 KEISHI KAZUKI

株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。