情報セキュリティマネジメントシステムの構築は、構築全般の調査、規格の理解や体制検討からはじまり、組織化、リスクアセスメント、などを経て、マネジメントシステムを定義する文書化、そして教育、監査、マネジメントレビューといくつもの手順を踏んでゆきます。
ここでは「準備・計画」から「内部監査」「予防・是正処置」そして、ISO27001 認証取得で必要な「認証取得申請」まで、順を追ってご説明します。
| ISMS委員会発足 |
|
|
| ISMS導入に先頭だって進めて行く責任者を決定します。また、役割分担を決め、社内でISMS委員会を発足させます。 次に、ISMS取得後の運用を明確にイメージし、方針を決定します。 規格となるISO27001の要求事項と管理策の理解を深め、規格に対して、何をどこまで実施すべきか、委員会で決定します。 |
|
|
| ISMS構築の基本方針と目的の確認 |
| ISMS委員に任命された社員が期待どおりの目的を果たすために、トップマネジメントおよび経営陣から、ISMSの導入方針や事業戦略との関わりを直接確認しておくことが大切です。 |
|
|
| ISMS構築のスケジュールと予算の見積もり |
| ISMSの導入・構築の対象とする適用範囲を検討し、適用範囲内で構築スケジュールの予定・見積もりを検討します。 また、見積もりにおいては、人件費・工事費・設備費・研修/教育費用・認証取得費用・コンサルティング費用を算出します。 |
|
|
| ISMS基本計画書の作成と報告 |
| 検討の結果をISMS基本計画書にまとめ、トップマネジメントおよび経営陣に報告を行い、承認を得ます。 経営陣だけではなく、適用範囲にあたる部署や総務部などの協力を得る必要があります。 |
ページトップ