ISMSとは、一言で言えば、「情報セキュリティに係る経営責任の見える化」です。
全ての情報を漏らさないように、正確な状態を保つように、いつでも使えるように、するためには、莫大なお金と労力が必要です。
「限られた資源の中でどこまで取り組めばよいか?」という経営判断に役立ち、リスクを受容できるレベルに下げる仕組みが情報セキュリティマネジメントと言えます。
ところが世の中には、「これができていない」「あれができていない」という、「最初に管理策ありき」の発想で情報セキュリティを捉えていることがよく見られます。
当社では、「ISO/IEC 27001」(情報セキュリティの国際規格)がJIS化される以前にあった「ISMS認証基準」や、自治体向けや特定分野の情報セキュリティ基準を用いたコンサルティングや監査を行うなど、豊富な経験を有したコンサルタントにより、ISMSの本質である「リスクに基づく管理策の実装による情報セキュリティの維持向上」を効果的に導くための仕組みづくりをご支援いたします。
情報セキュリティマネジメントシステム構築/ISMS(ISO/IEC 27001)認証取得支援
「JIS Q 27001(ISO 27001)」に基づく情報セキュリティマネジメントシステム(ISMS)の構築からISMS認証の取得まで、一連のご支援を行います。
情報セキュリティに関する豊富な知識と経験を活かして、組織の状況に適した仕組みづくりをご支援いたします。
実施事項とご支援例
フェーズ | 主な実施事項 | ご支援例 |
---|---|---|
1.プロジェクトキックオフ | ・プロジェクト推進体制の整備 ・プロジェクト計画の策定 ・経営層、事務局向け勉強会の実施 |
・ISMS認証取得までの実施事項とスケジュール、役割分担を整理いたします。 ・ISMSの要求事項(ISO 27001)についての勉強会を実施いたします。 ・情報資産の管理状況を確認するとともに適切な認証範囲を検討するために現状調査を実施いたします。 |
2.文書類の整備 | ・ISMSの基本方針、リスクアセスメント方法等のルール整備支援 | ・単なる雛形ではなく、組織の状況に合わせた素案を作成いたします。 ※会社の仕組みが百社百様であるように、情報セキュリティの仕組みも会社によって異なるのが当然です。当社では、どこでも使える雛形はどこでも使えないのと同じだと考えております。 |
3.リスクアセスメントの実施 | ・リスクアセスメント説明会の実施 ・情報資産の洗出し、リスク分析作業 |
・ヒアリングをしながら一緒に作り込んだり、作成されたものをレビューしたり、あるいはリスク対応策の助言をさせていただいたり、お客さまのご要望に合わせてご支援いたします。 |
4.教育の実施 | ・一般従業員向け勉強会の実施 | ・コンテンツの作成から勉強会の実施まで、ご要望に合わせてご支援いたします。 |
5.内部監査の実施 | ・内部監査チェックリストの作成 ・内部監査員養成研修の実施 ・内部監査の実施 ・是正処置計画の立案 |
・内部監査チェックリストを作成いたします。 ・内部監査員養成研修を実施いたします。 ・内部監査の実施自体、同行OJTなど、ご要望に合わせてご支援いたします。 ・是正処置計画について助言いたします。 |
6.マネジメントレビューの実施 | ・マネジメントレビューの実施 ・改善の指示、改善対応 |
・マネジメントレビューへのインプット資料の整理をご支援いたします。 ・必要に応じて、マネジメントレビューからのアウトプット案(マネジメントシステムの改善案)をご提示いたします。 |
7.ISMS認証審査対応 | ・審査機関との調整 ・1stステージ審査対応 ・2ndステージ審査対応 ・審査指摘事項対応 |
・審査対応のポイントをご説明いたします。 ・本審査でスムーズに対応できるように、審査前に模擬審査を実施いたします。 ・審査指摘事項に対する是正処置案の検討をご支援いたします。 |
8.ISMS認証の取得 | - | - |
お気軽にお問い合わせください。
2年目以降のISMS運用/改善支援
情報セキュリティマネジメントシステム(ISMS)の運用を進める中で、次のようなご要望をいただくことがあります。
・本業に集中したい
・専門家による支援を受けたい(教育や内部監査など)
・もっと効率的かつ有効な仕組みに改善したい
また、ゼロから立ち上げる初年度の取組みと、2年目以降の効率的かつ効果的な取組み方法は異なります。
当社では、多くの企業の取組みをお手伝いしていることから、どのような取組みが効果的であり、どのような取組みがあまり効果を生まないのか、何に気を配れば効果を上げることができるのかを分析し、ノウハウとして蓄積しております。そのノウハウを活かして、情報セキュリティマネジメントシステムの運用支援や改善支援のご要望にお応えいたします。
お気軽にお問い合わせください。
情報セキュリティ調査・改善支援
情報セキュリティに関して取組みは進めているものの、管理レベルは妥当か、管理の抜け漏れはないか、を専門家にチェックしてもらい、不備があれば改善したい、と考えておられる組織も多くあります。
当社では、それらの期待に応え、お客さまの事業の特性を踏まえ、情報セキュリティのリスクとコントロールについて、整備状況と運用状況の2つの視点で調査を行い、改善事項の提言を行います。「監査」ではなく「調査」という位置づけで、第三者として保障するために行うのではなくほころびを改善することに重きを置いたご支援を行います。
お気軽にお問い合わせください。
以下は、当社代表ブログ(「京都で働くコンサルタントのブログ」)の「情報セキュリティマネジメント」に関する主な記事です。