見出し画像
Photo by kohey1212y

ISMS認証を取得するまでの道のり

SecureNavi株式会社

ISMSオートメーションツール「SecureNavi」を提供する、SecureNavi株式会社の井崎です。

今回は、ISMS認証を取得するまでの道のりをご紹介します。「ISMS取得するぞ!」と決まってから、ISMS認証を取得するまでには、どのような取り組みが必要なのでしょうか?

ISMS認証を取得するための道のりは、大きく3つのステップに分かれます。順を追ってみていきましょう。

1. 支援会社・審査会社を決める

ISMS認証を取得するためには、一般的には2つの会社と契約します。1つ目は「支援会社」、2つ目は「審査会社」です。

1つ目の「支援会社」とは、その名の通り、ISMS認証を取得するための取り組みを支援する会社です。定期的なお打ち合わせや、メールやチャットなどでのサポートを通して、会社のセキュリティの仕組みを、ISMS認証が取得できるレベルまで高めるサポートをします。

支援会社の中にもいくつか種類があります。コンサル会社や代行会社、弊社のようなソフトウェアを使って支援する会社などです。

どんな会社があるかはぜひカオスマップをご覧ください!

2つ目の「審査会社」とは、支援会社と一緒に構築したセキュリティの仕組みを審査し、審査基準に満たしているかどうかを判定する会社です。この審査会社からOKをもらうことで、ISMS認証を取得することができます。

日本国内には、20以上の審査機関があります(※)。この中から、自社にあった適切な審査機関を選定します。いきなり審査機関を選べと言われても難しいですから、選定には、支援会社からの助言を受けることも多いです。

このステップでかかる費用と期間は以下の通りです。

【期間】1週間〜1ヶ月
【費用】なし(選定にかかる従業員の人件費のみ)

(※) ISMS-AC から認定を受けている認証機関が対象。2021年7月現在。

2. 支援会社とISMSを構築する

先ほどのステップで選定した支援会社と一緒に、情報セキュリティの仕組み、すなわち「ISMS」を構築します。より専門的な話をすると、ISMSには「ISO/IEC 27001」とよばれる国際規格がありますから、この規格に従って、自社の情報セキュリティ管理の仕組みを構築していきます。

具体的には、以下のような取り組みを行います。

・ISMSの対象範囲(拠点、部署など)を明確にする
・ISMSの体制(トップ、責任者、担当者など)を明確にする
・社内に存在する情報セキュリティリスクを洗い出す
・情報セキュリティリスクに優先順位をつける
・情報セキュリティリスクへの対策(例えば、入退室管理システムの導入、エンドポイントセキュリティの導入、脆弱性診断の実施など)を行う
・監視測定や内部監査(定期的なセキュリティ状況のチェック)を行う

上記は一例で、これら以外にも、ISMSにはさまざまな取り組みがあります。

このステップでかかる費用と期間は以下の通りです。

【期間】4ヶ月〜1年
【費用】70万円〜300万円
※ 100人規模の会社がコンサル会社を利用した場合。

3. 審査会社から審査を受ける

支援会社と一緒にISMSを構築した後には、審査を受審します。初回の審査は、2回に分かれます。それぞれ「第一段階審査(ステージ1 / St1)」と「第二段階審査(ステージ2 / St2)」と呼ばれています。

第一段階審査では、主に文書が確認され、第二段階審査に進むことができるかどうかを確認されます。第二段階審査では、文書に加え、実際の現場(オフィスなど)の状況も確認されます。この2回の審査を通して、支援会社と一緒に構築したISMSが、国際規格である「ISO/IEC 27001」に準拠しているかどうかが確認されます。

この審査に合格することで、ISMS認証の取得となります。審査というと、身構えてしまう人も多いかもしれませんが、ISMSの審査は、落とすための審査ではありません。そのため、支援会社にしっかり支援さえしてもらえれば、「審査に落ちてISMS認証が取れない」といったことは、ほぼありません。

このステップでかかる期間と費用は以下の通りです。

【期間】2ヶ月〜3ヶ月(審査自体は数日)
【費用】100万円〜200万円
※100人程度の規模を想定した場合。

ちなみに

ちなみに、ISMS認証を無事に取得した後も、気を抜くことはできません。ISMS認証は、取得して終わりではなく、年に1回の定期的な審査があります。認証取得後も踏まえて、自分たちできちんと運用できる、身の丈にあったISMSを作ることも重要です。

さいごに

以上、ISMS認証を取得するための、3つのステップを紹介しました。ISMS認証取得は情報があまりなく悩まれることも多いと思います。今回ご紹介した取得までのステップや期間、取得にかかる費用を理解した上で、ぜひ自社にあったISMS取得方法をご検討ください!

---

弊社では、ISMSオートメーションツール「SecureNavi」を提供しています!
誰でも簡単にISMSを構築し、認証取得・ISMS運用が可能です。

ISMS認証取得について相談したい方はお気軽にご連絡ください!




この記事が気に入ったらサポートをしてみませんか?