次の3つのステップに沿って取得活動を進めていきます。
1.ISO27001/情報セキュリティマネジメントシステムの構築
まず、御社で行っている業務や活動について、セキュリティの対象となる情報資産を洗い出します。
洗い出した情報資産ごとに、発生しうるリスク(紛失、破損、盗難・盗聴…)を抽出します。
それらのリスクが発生する可能性や発生した場合の被害の大きさを考慮して、リスクへの対応策を考えます。
リスクへの対応策とは、情報資産の取り扱いや管理上のルールを決めたり、セキュリティ設備を導入したりといった対策のことを指します。
以上のことを含め、ISO27001では100個以上のルール(規格要求事項)がありますので、それらを御社の仕事の中に組み込む作業が必要です。
ISO27001は、もともと英語で作成されています。
実際に作業を進める際には、それを日本語に直したものを読むことから始めますが、これがなかなかクセ者です。
日本語に直したときに、本来の意味が変わってしまうことを防ぐために、極力英語の構文の形のままで和訳しています。
したがって、初めて読む方は、日本語でありながら、宇宙人が書いた本を読んでいる気持ちになります。
ISOが難解だと言われる所以です。
ISO27001の意図をしっかり把握した上で、自社でどのようにルールを守って、情報セキュリティ活動を推進していくかを、マニュアルや運用手順書、様式といった文書に落とし込んでいきます。
ここまでが、情報セキュリティマネジメントシステムを構築する段階です。
2.ISO27001/情報セキュリティマネジメントシステムの運用
仕組みが一通り出来上がったら、それに則って、実際に仕事を進めていきます。
これをシステムを回すとか、運用すると言います
システムをある程度回して、実績ができたら、内部監査と呼ばれるセルフチェックを行います。自分たちで、システムがきちんと動いているかを調べることです。うまくいっていないところがあれば、改善します。
システムを一通り全て運用したら、システムを総括的に見直し、今後どのようにシステムを運用していくかを決定します。
ここまでくると、次は、いよいよ審査です。
3.ISO27001審査
ISO27001では、審査が2回あります。
① 第1段階審査
1回目の審査は、御社で作成したマニュアルや手順書が、ISO27001で要求されていることを満たしているかをチェックします。
審査員が実際に御社に訪問して、色々と質問してきます。2回目の審査を受けるのに不足している点を指摘していきます。
② 第2段階審査
2回目の審査は、1回目の内容を踏まえた上で、今度は、そのマニュアルや手順書で定めたルールとおり、社員の皆さんが仕事を進めているかを中心に審査を行います。
セキュリティ上の大きな問題もなく、しっかりシステムが動いていることが確認できたら、晴れてISO27001の取得となります。
>>ISO27001に関するお問い合わせはこちらから。