改正移行支援方針
ISMS序文の通り、リスクマネジメントプロセスを適用することにより情報の機密性・完全性及び可用性を維持しリスクを適切に管理しているという信頼を利害関係者に与えることができるよう、ISMS改正対応と同時にマネジメントプロセスの最適化(スリム化)と意識向上を目指して移行を支援します。
| スリム | 改正を機会にISMS運用のスリム化で管理負担を軽減します |
|---|---|
| スマート | 事業目標達成に貢献する業務連携した移行運用を目指します |
| 人づくり | 改正の意図・管理策の目的を正しく理解し運用できる人づくり |
移行実践コース開催
ISMS改正ポイントと管理策解説&実践ツール提供
2つのコースを開催しています
1.企業(組織)の担当者様向け3時間コース
2.JRCA登録審査員のための差分+CPD5時間コース
企業(組織)の担当者様向け3時間コースは移行期限の2025年10月まで定期開催しています。本コースでは、ISMS管理策実践ガイドやISMS新旧対比などの教材(冊子)に加えてISMS及び管理策の適用状況を調査し適用宣言書の改正発行までを支援するExcelツールにより実践的な移行方法を解説しています。
開催スケジュールはこちらをご覧ください
スマートな改正移行並びにISMSのスリム化を支援しています
基本支援プラン 月額49,000円〜 × 最短6ヶ月〜標準12ヶ月
基本支援プラン
毎月定期的に開催する委員会にアドバイザーを派遣
基本契約では毎月2時間の支援を実施します。通常は委員会(情報セキュリティ委員会・専門部会・技術委員会)を計画し、規格解説や実装方法のアドバイス・実装事例の紹介や質疑応答などを実施するとともに、進捗確認も主なミッションです。
開催方法や訪問のみならずリモートでも開催可能です。6ヶ月で移行を目指す場合は、毎月4時間の支援体制を提案しています。
ISMS移行支援基本プラン:月額 49,000円(税別)
・月2時間の委員会に講師・コンサルタント・アドバイザー派遣 40,000円
・一般社団法人マネジメントシステム一般会員(法人)会費 3,000円
・LMS専用コース利用料(文書・様式の取得やリモートレビュー 3,000円
・SMARTリスクマネジメントシステム利用料 3,000円
ISMS移行支援は、『基本支援プラン』をベースにニーズに合わせてプランニングします
❶ISMS推進マニュアル改正
一般的にISMS運用を目的として、ISMSマニュアルや推進マニュアル、マネジメント規定などの運用管理文書が作成されている場合、それらマニュアルをISO/IEC 27001:2022に準拠するための改正が必要です。ISMS運用管理のスリム化を目的として、マニュアルの改正を支援します。今後開催される担当者によるミーティングを専門部会若しくは情報セキュリティ委員会と呼び、基本プランではこの会議により改正を支援するとともに改正ISMSについての理解を深めます。特に、改正によって6.3「変更の計画策定」が追加されていますので、計画的な変更を支援しています。
6.3「変更の計画策定」組織が ISMS の変更の必要があると決定したとき,その変更は,計画的な方法で行わなければならない。
❷リスクマネジメントプロセス改善
事象ベースのリスク特定で実践(ワークショップ)的にプロセスを改善します
リスクベースでセキュリティ対策を考えることが重要です。「ISMS は,リスクマネジメントプロセスを適用することによって,情報の機密性,完全性及び可用性を維 持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。(ISO/IEC 27001:2022 序文)」とされいる通り、ISMSはリスクマネジメントシステムであると位置付け、リスクマネジメントプロセス改善を進めます。
ISO/IEC 27005:2022 情報セキュリティ リスクの管理に関する手引
事象ベースのアプローチは、詳細なレベルで資産を特定することに多大な時間を費やすことなく、高いレベルの戦略的なシナリオを確立することができる。 これにより、組織は自らのリスク対応の取組みを重大なリスクに集中させることができる。
1.リスクマネジメント基礎研修(標準90分)
・リスクマネジメンのプロセスとその手法の理解を目的としています
・事象ベースのアプローチ(ISO/IEC 27005:2022準拠)手法適用
・アンケート法によるリスク特定で全ての要員でリスクを特定します
2.リスクマネジメント実践研修(標準180分)
・ワークショップ形式でリスクアセスメント実施を目的としています
・事象ベースのアプローチによりシンプルなアセスメント法を習得し
・リスクへの対応方法についてリスクコミュニケーションを経て検討
3.リスク対応実践研修(標準180分)
・ISMS附属書Aの目的とその内容を正しく理解することを目的としています
・リスクレベルに応じたISMS附属書A管理策の実装方法を習得し
・附属書A管理策への適用状況調査及び適用宣言書を作成します
❸改正ISMS・管理策適用状況調査
まず初めに、改正ISMSにより追加となった11種の管理策について現時点での適用状況を調査します。フィット&ギャップ分析によって不足している仕組みや対策を洗い出し効率的で効果的な構築並びに運用の計画を作成することにより業務に密着したスリムなマネジメントシステム構築を目指します。さらに、調査結果を定量的に評価することにより、現状を見える化するとともに、数値化された目標を設定します。構築及び推進計画が目標を達成するための計画となり、ISMS要求事項6.2 情報セキュリティ目的(目標)及び達成のための計画及び6.3変更の計画(管理策の移行計画)が完成します。
❹管理策基準(規定)改正を支援
改正管理策の調査結果をもとに、管理策を運用管理するために策定されている規定・基準類を移行計画に従い改正を支援します。特に、管理文書のスリム化を重視しています。これら規定類(トピック固有の個別方針)は、管理策 5.1 により「これを定義し、経営陣によって承認され、発行し、関連する要員及び関連する利害関係者へ伝達し認識され、計画した間隔で及び重要な変化が発生した場合にレビューしなければならない」とされており、改正された規定・基準について定期研修などにより要員に伝達します。
❺適用宣言書改正支援
❸❹のプロセスを経て、適用宣言書を改正発行します。
ISO/IEC 27001:2013(2版) では114種の管理策について適用宣言書が作成されていました。ISO/IEC 27001:2022(3版)では、114種の管理策が82種に統合され、新たに11種の管理策が追加されています。❸のプロセスにより、追加された11種についての適用状況が明確になり、追加・拡張が必要な場合は計画的な実装を進めます。同時にリスクの変化に伴う2版で適用していた管理策の見直し(改善)が必要なる場合もあり❹規定の改正を含めて支援しています。
❻ISMS内部監査支援
◉ISMS内部監査業務委託(監査チーム派遣)
1.監査プログラム作成支援(監査工数・監査基準・監査目的の明確化)
2.審査員資格を有する監査チームを編成
3.内部監査計画の作成
4.内部監査の実施(監査チェックシート)
5.内部監査報告書作成及び報告会
6.結果分析(分析チャート作成)
7.是正改善提案(要求)書作成
8.是正計画のフォローアップ
◉ISMS内部監査員育成支援
人材育成支援(内部監査員研修参照)
5段階評価でパフォーマンスを評価します
現状調査による評価結果から設定した目標への達成度評価
①マネジメントシステム評価
②ISMS附属書A管理策評価
・5.組織的管理策評価
・6.人的管理策評価
・7.物理的管理策評価
・8.技術的管理策評価
・#運用属性別評価
③サーバーセキュリティレジリエンス評価
④総合評価
内部監査支援について詳しくはこちらをご覧ください
監査員1人日 @ × 工数
工数は監査プログラムに基づき算定します。
東京を起点とし、拠点(サイト)への現地監査を実施する場合は出張費用(実費)一部遠隔(リモート)監査も可能です。
❼移行審査への対応を支援
移行審査時にMSQA担当が立ち会います
ご希望があれば、ISMS移行審査に立ち会います。
MSQAから主任審査員資格を有するコンサルタント・アドバイザーを派遣して、御社のオブザーバーとして審査に参加します。ただし、オブザーバーは直接審査対応(審査員の質問への回答)ができませんので、審査中に困ったことがあった場合に御社の相談役として振る舞います。
審査において軽微な不適合が発見された場合、定められてた期間内に是正計画作成し、提出した上で審査員のフォローアップをうけることで認証決定の推薦を受けることができます。MSQAは、是正計画作成を支援します。
❶〜❻の支援コンテンツは単体でもご利用いただけます
無料相談会
認証取得や運用管理についての疑問に答えます
認証決定を希望する時期や適用範囲、体制並びにニーズをお聞かせいただければ、最適なプランを提案します。無料相談会は、全国対応1時間以内リモートでご希望の日時で実施します。