★ISO27001取得スケジュール

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

ISO27001(ISMS)取得スケジュール

ＩＳＭＳの審査は第1段階審査（ＳＴ１）と第２段階審査（ＳＴ２）の２段階で実施されます。
予備審査という制度がありますが利用は任意です。あまり利用する企業はないようです。

文書審査(ステージ１)
準備された文書をもとに組織のＩＳＭＳを審査して、準備状況をみてステージ２審査が可能か判定します。
実地審査(ステージ2）
構築されたＩＳＭＳの基本方針、目標、手順などの運用状況を確認して経営者との面談、文書の確認などを行います。

① 推進体制の確立

ISMS認証取得のための社内体制を確立します。

• 情報セキュリティ（IS)委員会
• セキュリティ管理（IS)責任者
• 内部監査員
• 各部門のISMS推進管理者

② 適用範囲決定・基本方針策定

ISMSの認証を受ける適用範囲（部門別、事業所単位）を決定します。
組織として情報セキュリティの全社的な目的、方向性と指針を策定します。

③ 情報資産調査

全社アンケート等で情報資産を「情報資産管理台帳」に洗い出し組織の情報資産を特定します。

④ リスクアセスメン

特定した情報資産の想定されるリスクを特定しリスクを評価、リスクの管理策を策定します。
残留リスクを把握し経営層から承認してもらいます。

⑤ 適用宣言書・リスク対応計画書

ISO 27001 附属書 Aの133ある管理策のどの管理策を採用したか、採用しなかったかを「適用宣言書」にまとめます。
リスクの管理策を具体化するために「リスク対応計画書」を作成します。

⑥ ISMS文書作成

ISMSの全体を俯瞰できる「ISMSマニュアル」を作成します。
※実際には「ISMSマニュアル」のリスクの評価方法などはリスクアセスメンの前に確定している必要があります。
ISMSを運用するための規定・手順書・運用記録様式を作成します。

⑦ 内部教育・ISMS運用開始

実際にISMSを運用を開始します。
ISMSを運用していくために社内教育を実施して確認テストの実施記録を残します。

⑧ 内部監査

ISMSを一定期間運用開始後、内部監査を実施します。

⑨ マネジメントレビュー

内部監査の結果を元に構築実施したISMSが適切に運用されているかどうかを経営陣がレビューします。
ISMSに不備ががあれば改善します。

⑩ ISMSの改善

※この期間中に審査機関より予備審査を受けることができますが実際にはあまり予備審査を受けるケースはないようです。

⑪ ステージ１審査（ＳＴ１）

主に「ISMSマニュアル」や文書、記録類の整備状況を中心に文書審査が行なわれます。

⑫ ステージ２審査（ＳＴ２）

ISMSの運用状況について運用現場でインタビューなどで確認、指摘事項は改善が要求されます。

⑬ ISMS認証取得

ISMSはどこに申請する？ ISMS認証機関一覧

当社のISO27001(ISMS)コンサルタント費用です ISMS取得費用【参考価格】