基本支援プラン 月額49,000円〜 × 最短6ヶ月〜標準12ヶ月
ISMS新規認証支援方針
シンプルかつスマートにリスクマネジメントを定着させます
審査員研修コース講師が教育研修コースの品質を保証します
定量的パフォーマンス評価でISMS成熟度を見える化します
認証決定後を視野にスマートに維持できる仕組みを創ります
| スリム | 最小限の文書・記録で運用管理負担を軽減します |
|---|---|
| スマート | 事業目標達成に貢献することのできる構築・運用 |
| 人づくり | マネジメントシステムを支える人材育成を重視します |
3つのフェーズに分割して認証決定まで支援します
ISMS認証標準プランは、『❹基本支援プラン』をベースにニーズに合わせてプランニングします
フェーズ1
❶現状調査
まず初めに、想定しているISMS認証取得の範囲(適用範囲)を対象に、ISO/IEC 27001:2022(ISMS)要求事項と附属書A管理策(セキュリティ対策)に対して現時点での適用状況を調査します。フィット&ギャップ分析によって不足している仕組みや対策を洗い出し効率的で効果的な構築並びに運用の計画を作成することにより業務に密着したスリムなマネジメントシステム構築を目指します。さらに、調査結果を定量的に評価することにより、現状を見える化するとともに、数値化された目標を設定します。構築及び推進計画が目標を達成するための計画となり、ISMS要求事項6.2 情報セキュリティ目的(目標)及び達成のための計画が完成します。
調査(Check-Act)から始め、効率的な推進を実現
現状調査は臨時の内部監査です
フェーズ1(現状調査)を単体で先行契約し、調査結果に基づいてフェーズ2以降の作業量を判断した上でプランニング(提案)。フェーズ1(調査結果)に基づく提案内容からお見積りを作成しますので、フィット&ギャップの結果によりフェーズ2以降の契約締結を推奨しています。
フェーズ1(現状調査)結果と提供した推進計画の実行及びフェーズ3(内部監査業務委託)によりISMS認証を取得された事例もあります。
調査(監査)に要する時間は、適用範囲(組織規模・業務内容)によって算定します。(標準時間16時間:1日4時間×4回など)
調査(監査)の外部委託についてはこちらをご覧ください
現状調査(臨時監査) 標準16時間〜 × 主任審査員派遣単価
情報セキュリティ目標の設定
現状調査結果から定量的な目標を設定します
6.2 情報セキュリティ目的及びそれを達成するための計画策定
関連する機能及び階層において,情報セキュリティ目的を確立します。
a) 情報セキュリティ方針と整合している。 b) (実行可能な場合)測定可能である。 c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入 れる。 d) これを監視する。 e) これを伝達する。 f) 必要に応じて,更新する。 g) 文書化した情報として利用可能な状態にする。
組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなけ ればならない。
h) 実施事項 i) 必要な資源 j) 責任者 k) 達成期限 l) 結果の評価方法
調査結果から目標が決まれば、達成するための計画を策定し運用を開始します
❷ISMS推進マニュアル発行
ISO/IEC 27001:2022に準拠したISMS推進マニュアルを提供します。
(1)適用範囲を決定します(全社適用若しくは対象部門及び業務を特定)
(2)情報セキュリティ基本方針案を作成します(標準様式提供)
(3)適用範囲内の管理体制と役割及び責任を明確にします
(4)トップマネジメントを対象としたキックオフミーティング開催
(2)(3)についてトップマネジメントの承認を得て運用を開始
(5)ISMS推進マニュアル及びISMS推進マニュアル実践ガイドを用いで
担当者によるキックオフミーティングを開催し導入研修を準備します
今後開催される担当者によるミーティングを専門部会若しくは情報セキュリティ委員会と呼びます。(基本プランではこの会議による支援を対象とします)
ISMS推進マニュアル活用ガイドブックの提供
ISO/IEC 27001:2022に準拠した『ISMS推進マニュアル』に基づいて発行。ISMSガイドブックとして、規格解説のみならず実装方法の具体例や適合性評価制度(ISMS認証制度)等について解説しています。
本誌は、ISMS審査員研修や監査員研修の教材としても使用しています。企業内での導入研修教材や管理者・担当者の教育教材として支援企業に提供しています。本誌は、MSQA公式ストアで販売しています。
→公式ストア:https://isms-society.stores.jp/
電子版はこちらでご覧いただけます
| ISO/IEC 27001:2022に準拠したISMS推進マニュアルとISMS推進マニュアル活用ガイドを使用して構築を開始します。 | (1)適用範囲を決定します(全社適用若しくは対象部門及び業務を特定) |
|---|
❸ISMS導入研修(基礎研修)
管理者や部門長。部門担当者などを対象にISMS導入のために必要な基礎知識を習得することを目的としています。特に、マネジメントシステムの目的や推進方法と情報セキュリティについて正しく理解し認識することを目的としています。
1.ISMS『情報セキュリティを正しく認識する』
2.ISMS『マネジメントシステムで目標を達成する』
情報セキュリティ基本方針を伝える
情報セキュリティに関する役割及び責任を伝える
情報セキュリティ目標と達成のための計画を説明する
本研修コースは、定期研修コースとしても開催が可能です。リモートでのオープンコースとしても定期的に開催しています。詳しくは、人材育成支援をご覧ください。
フェーズ2
❹基本支援プラン
毎月定期的に開催する委員会にアドバイザーを派遣
基本契約では毎月2時間の支援を実施します。通常は委員会(情報セキュリティ委員会・専門部会・技術委員会)を計画し、規格解説や実装方法のアドバイス・実装事例の紹介や質疑応答などを実施するとともに、進捗確認も主なミッションです。
開催方法や訪問のみならずリモートでも開催可能です。6ヶ月で認証を目指す場合は、毎月4時間の支援体制を提案しています。
ISMS認証支援基本プラン:月額 49,000円(税別)
・月2時間の委員会に講師・コンサルタント・アドバイザー派遣 40,000円
・一般社団法人マネジメントシステム一般会員(法人)会費 3,000円
・LMS専用コース利用料(文書・様式の取得やリモートレビュー 3,000円
・SMARTリスクマネジメントシステム利用料 3,000円
❺リスクマネジメント実践
リスクマネジメント実践(ワークショップ)は実務として実施します
リスクベースでセキュリティ対策を考えることが重要です。「ISMS は,リスクマネジメントプロセスを適用することによって,情報の機密性,完全性及び可用性を維 持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。(ISO/IEC 27001:2022 序文)」とされいる通り、ISMSはリスクマネジメントシステムであると位置付け、リスクマネジメント実践研修を重視しています。
ISO/IEC 27001:2022 6.1.2 リスクアセスメント
a) 情報セキュリティリスク基準を確立
b) 一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。
c) 情報セキュリティリスクを特定する。
d) 情報セキュリティリスクを分析する。
1)起こり得る結果についてアセスメントを行う。
2) 現実的な起こりやすさについてアセスメントを行う。
3) リスクレベルを決定する。
e) 情報セキュリティリスクを評価する。
1.リスクマネジメント基礎研修(標準90分)
・リスクマネジメンのプロセスとその手法の理解を目的としています
・事象ベースのアプローチ(ISO/IEC 27005:2022準拠)手法適用
・アンケート法によるリスク特定で全ての要員でリスクを特定します
2.リスクマネジメント実践研修(標準180分)
・ワークショップ形式でリスクアセスメント実施を目的としています
・事象ベースのアプローチによりシンプルなアセスメント法を習得し
・リスクへの対応方法についてリスクコミュニケーションを経て検討
3.リスク対応実践研修(標準180分)
・ISMS附属書Aの目的とその内容を正しく理解することを目的としています
・リスクレベルに応じたISMS附属書A管理策の実装方法を習得し
・附属書A管理策への適用状況調査及び適用宣言書を作成します
❻ISMS管理策の実装を支援
リスク対応プロセスで決定した管理策と既に実施している管理策をISMS(ISO/IEC 27001:2022)附属書A に示す管理策と比較し,必要な管理策が見落とさないように検証を支援します。
ISMS 注記1)附属書A は,考えられる情報セキュリティ管理策のリストで、この規格の利用者は, 必要な情報セキュリティ管理策の見落としがないことを確実にするために,附属書A を参 照することが求められています。
ISMS注記2)附属書A に規定した情報セキュリティ管理策は,全てを網羅していない。必要な場合は, 追加の情報セキュリティ管理策を含めることが可能です。
適用宣言書を作成を支援します
ISMS附属書Aと比較し適用宣言書を作成
ISMS附属書A管理策を『適用状況調査表』で分析する
ISMS附属書Aに規定した情報セキュリティ管理策は、ISO/IEC 27002:2022の箇条5~箇条8 に規定したものをそのまま取り入れており、両者の整合が保たれています。MSQAでは、ISO/IEC 27002:2022から管理策実践ガイドを発行しており、適用状況調査表もISO/IEC 27002:2022の管理目的や実施の手引きからチェックリスト化しています。ISO/IEC 27002:2022に掲載されている#運用属性や#サーバーセキュリティ概念から管理策を抽出し、実施状況や関連文書・記録様式などを特定することができます。
❼定期研修(意識向上・教育訓練)
ISMS 附属書A管理策 6.3 情報セキュリティの意識向上,教育及び訓練
ISMS 附属書A管理策 6.3では、「組織の要員及び関連する利害関係者は,職務に関連する組織の情報セキュリティ方針,トピック固有の方針及び手順についての,適切な,情報セキュリティに関する意識向上プログラム,教育及び訓練を受けなければならず,また,定常的な更新を受けなければならない。」とされています。MSQAでは、脅威の変化・リスクの変化を捉えて教育研修内容(教材)を毎年改正して、本研修を支援しています。
集合研修(オンサイト)・オンライン開催やeラーニングによる開催が可能です
フェーズ3
❽ISMS内部監査支援
◉ISMS内部監査業務委託(監査チーム派遣)
1.監査プログラム作成支援(監査工数・監査基準・監査目的の明確化)
2.審査員資格を有する監査チームを編成
3.内部監査計画の作成
4.内部監査の実施(監査チェックシート)
5.内部監査報告書作成及び報告会
6.結果分析(分析チャート作成)
7.是正改善提案(要求)書作成
8.是正計画のフォローアップ
◉ISMS内部監査員育成支援
人材育成支援(内部監査員研修参照)
5段階評価でパフォーマンスを評価します
現状調査による評価結果から設定した目標への達成度評価
①マネジメントシステム評価
②ISMS附属書A管理策評価
・5.組織的管理策評価
・6.人的管理策評価
・7.物理的管理策評価
・8.技術的管理策評価
・#運用属性別評価
③サーバーセキュリティレジリエンス評価
④総合評価
内部監査支援について詳しくはこちらをご覧ください
監査員1人日 @ × 工数
工数は監査プログラムに基づき算定します。
東京を起点とし、拠点(サイト)への現地監査を実施する場合は出張費用(実費)一部遠隔(リモート)監査も可能です。
マネジメントレビューの実施を支援
9.3.2 マネジメントレビューへのインプットの作成を支援
マネジメントレビューは,次の事項を考慮しなければならない。
a) 前回までのマネジメントレビューの結果講じた処置の状況
b) ISMS に関連する外部及び内部の課題の変化
c) ISMS に関連する利害関係者のニーズ及び期待の変化
d) 次に示す傾向を含めた,情報セキュリティパフォーマンスに関するフィードバック 1) 不適合及び是正処置 2) 監視及び測定の結果
3) 監査結果 4) 情報セキュリティ目的の達成
e) 利害関係者からのフィードバック
f) リスクアセスメントの結果及びリスク対応計画の状況
g) 継続的改善の機会
❾初回認証審査への対応を支援
ご希望があれば、ISMS認証審査に立ち会います。
MSQAから主任審査員資格を有するコンサルタント・アドバイザーを派遣して、御社のオブザーバーとして審査に参加します。ただし、オブザーバーは直接審査対応(審査員の質問への回答)ができませんので、審査中に困ったことがあった場合に御社の相談役として振る舞います。
審査において軽微な不適合が発見された場合、定められてた期間内に是正計画作成し、提出した上で審査員のフォローアップをうけることで認証決定の推薦を受けることができます。MSQAは、是正計画作成を支援します。
❶〜❽の支援コンテンツは単体でもご利用いただけます
認証決定
認証決定後に認証維持方法についてご説明
認証決定からが始まりです、無理のない運用維持や継続的な改善方法について解説
審査のための作業をなくし、事業目標達成を支えるISMS運用を目指します
右図は一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
2022年9月1日お知らせを引用しています
無料相談会
認証取得や運用管理についての疑問に答えます。
認証決定を希望する時期や適用範囲、体制並びにニーズをお聞かせいただければ、最適なプランを提案します。無料相談会は、全国対応1時間以内リモートでご希望の日時で実施します。