ISO27001
ISO27001 情報セキュリティマネジメントシステム ISMS
JIS Q27001:2023が発行されました(2023/9/20)
<ISO27001認証取得 標準スケジュール>
キックオフミーティング(0回目)
代表者からの宣言とともに、取得活動についての説明
情報資産の洗い出しと業務フロー作成(1~2回目:1.5ヶ月)
現状分析(情報資産の洗い出し・業務フロー作成)
・現状資産にあたるものを確認し、リストアップ
情報資産の資産価値評価
・業務フローを作成
リスクアセスメント 内部文書作成 事業継続計画策定(3~5回目:1.5ヶ月)
リスクアセスメント(ベースライン分析)
・ISO27002の114項目の管理策の実施状況チェック
リスクアセスメント(詳細リスク分析)
・脅威と脆弱性の評価
・対策の妥当性評価
リスク対応計画作成
安全対策のルール決定
・情報資産を保護するために守るべきルールを決定
内部文書作成
・情報セキュリティマニュアル・手順書・記録様式を作成
従業員教育の準備
・情報セキュリティに関する従業員教育の準備
事業継続計画の作成
・災害 セキュリティ事故への対応計画を作成
仮運用の準備
・決定したルールに従って、実際に運用を開始する準備
教育・仮運用(6回目:1ヶ月)
教育の実施
仮運用の実施
内部監査 是正および予防 見直し(7~8回目:1ヶ月)
内部監査の実施
・監査員教育
・仮運用の結果について監査を実施
是正処置及び予防処置の実施
・監査の結果、発見された不適合を是正
マネジメント・レビューの実施
・運用の結果に基づき、必要に応じて見直しを実施
審査前最終チェック
審査(ファーストステージ:文書審査)(9回目)
ファースト・ステージ審査対応
・おもに文書の完成度をあげる
・審査に向けて運用状況を確認
審査(セカンドステージ:運用審査)
現地審査後対応(10回目)
セカンド・ステージ審査対応
・審査の結果を受けて、必要に応じて改善実施
・改善報告書の作成
ISO27001認証取得
