DIME MAGAZINE
ISMS認証を取得・維持するには?
ここからは、ISMS認証を取得・維持するにはどうすればいいのかを解説します。ISMS認証は、取得するだけではなく維持する必要があるものです。
それでは、ISMS認証を取得するまでの流れやその際のポイント、内部監査、認証の取得や維持に必要な費用を確認しましょう。
■ISMS認証を取得するまでの流れ
ISMS認証を取得するまでの大まかな流れは、以下のとおりです。
- 規格に関する理解を深める
- 組織の現状を把握し、必要な要件との差異を分析する
- 情報セキュリティの方針を決め、規定書やマニュアルなどのISMS文書を作成する
- 従業員への教育をおこなう
- ISMS文書にのっとった運用を開始する
- 内部監査を実施する
- マネジメントレビュー(経営層レビュー)を実施し、改善点がないかを確認する
- ISMS認証の審査を受ける
自社での対応が難しければ、外部のコンサルティングや代行会社を利用する方法も選べます。
■ISMS認証を取得する際のポイント
ISMS認証を取得する際のポイントは、以下のとおりです。
<以下のISMS認証取得の要件を満たす>
- 情報セキュリティポリシーの確立
- 情報資産の特定と管理
- リスクアセスメントの実施
- セキュリティ対策の実装と運用
- モニタリングと継続的改善
- 内部監査の実施
- マネジメントレビューの実施
<認証の取得範囲を決める>
拠点数が多い場合などは、特定の部署や拠点だけで認証を取得可能。
<継続的に運用できるように、現実的な体制を構築する>
ISMS認証取得後も継続的な取り組みが必要。運用を続けられるような体制を構築しなければならない。
■ISMSの内部監査
ISMSに関する内部監査は、認証を取得する前にも、認証の取得後にも必要です。内部監査は、ISMSの運用状況から情報セキュリティ対策の有効性・脆弱性を確認して改善点を見つけるために、組織内部の監査員がおこないます。ISMS認証の取得・維持やリスクマネジメントに必要な工程です。
内部監査では、「適合性」と「有効性」を判定します。適合性は「従業員がルールを理解してその通りに実施しているか」、有効性は「社内ルールや文書の内容が有効か」を指すものです。これにより、対策が形骸化していないかを確認できます。
また、認証機関が実施する通常年1回のサーベイランス審査を定期的に受ける必要もあります。
■ISMS認証の取得や維持に必要となる費用
ISMS認証の取得や維持のためには、審査費用が必要です。これは、申請する審査機関によっても異なります。ISMS認証を取得できる審査機関は複数あるため、見積もりを出してもらって費用を確認するといいでしょう。
また、社外のコンサルタントや代行会社に依頼するのか自社のみで対応するのか、業種は何か、拠点数・従業員数がどれほどかなどでも、認証の取得や維持にかかる費用が異なります。
ISMSの意味・構成要素・取得メリット・手順を理解しよう
ISMS認証の取得によって期待できるメリットは、「情報セキュリティのレベルアップ」「企業文化の改善」「情報セキュリティ対策のコスト削減」「信頼性のアピール」などです。
近年、ITシステムやネットワークの重要性が高まった一方で、ISMSによる対策の重要性も増しています。
ISMSに興味がある方、導入を検討している企業で働いている方は、ISMSの意味や要素、メリット、取得の流れを理解して、実際のビジネスシーンで適切な判断ができるようになりましょう。
構成/chihaya
最新号
