ISMS_vol.2_ eyecatch

こんにちは。
アオサンです。

前回はISMS認証(ISO27001)の概要についてお伝えしました。

もし担当者に任命され不安を抱えている方がご覧になっていたら更に不安になること間違いなしの内容でしたが、今回は安心していただける内容になっておりますので、是非このままご覧ください。

ISMS認証の概要についてまだ読まれてない方はこちらをどうぞ。
超初心者でもISMS認証取得ができるのか?!【vol.1】~優しく解説!『ISMS認証(ISO27001)って何?』~

ISOコンサルタントって?

さて、早速ですが『ISOコンサルタント』という職業があることをご存じでしょうか?
ISO規格の新規取得や運用のサポートを手取り足取りしてくれる大変心強い味方です。

アップリーチでは最短スケジュールでISMS認証を受けたいという希望がありました。
そこで、円滑に申請を進める為に専門のISOコンサルタントの方にサポートをお願いすることにしました。

当社がお願いしたのは、3ACさんです。
WEBサイト検索で3社程比較し、サイトの印象・口コミ・実績を参考にして選定しましたが、当社希望である最短スケジュールでの取得が可能であるところが大きな決め手でした。
皆さんがISOコンサルタントを探される場合もそれぞれの取得背景やご事情に併せて選定をしていただければと思います。

ガッツポーズする男性の後ろ姿

ISOコンサルタントって何をしてくれるの?

ISOコンサルタントの主な仕事内容は『認証取得代行』です。
詳細はこのあと記載していますがざっくりとこんな感じ。

  • 取得・更新の全体的な進行をしてくれる
  • 専門的な知識を教えてくれる
  • 必要な書類を作成してくれる

参考までにデータをお伝えすると、ISMS認証の新規取得の場合の総作業時間は449時間です!
実稼働20日/1ヶ月として考えると、ISMS構築のためだけに3か月を要することとなります。
本業と兼務という形でやるにはもっと時間を要してしまうことでしょう。

ISOコンサルタントの方にまず言っていただいたのが『本業に専念いただけるようサポート致します』という何ともありがたい言葉です。
初めての、しかも急ぎのISO取得で右も左もわからない当社にとってISOコンサルタントは指南役として欠かせない存在でした。

打合せ方法と頻度

認証取得までは1ヵ月毎、取得後は2ヵ月毎の打合せに加え、チャットでいつでも質問ができる状況です。些細なことでも答えてもらえるので大変心強いです。
コロナ禍ということもあり初回以外の打合せはリモートにて実施しました。

認定機関選定・審査日程調整

こちらの要望に合った認証機関の選定と日程調整を実施してくれました。
今回は審査期間優先で認証機関を選んでもらいましたが、後日聞いたところによると、認定機関によって特色があるそうで、審査当日のコンサルタント発言権の有無なども選定基準だそうです。

    

書類作成

審査書類作成は打ち合わせ時のヒアリングを元にコンサルタントの方が作成してくれます!
先にお伝えした作業時間換算でいうところのなんと164時間分が書類作成です。
終わりの見えそうにない膨大な要求事項を前に、私が一番危惧していた部分でしたので本当に感謝です。

実際にどのように審査準備を進めていったかはこの後にお伝えしていきます。

書類やパソコン

審査準備内容

ではISOコンサルタントの方と一緒に当社で行った審査準備ですが、実際の業務内容を基に以下を行っていきました。

  • ISO規格取得の目標設定
  • 基本方針や手順を定めて運用していく
  • 社員教育

それでは具体的にどのように進めたのかいくつかお伝えします。

ISO規格取得の目標設定

まずは当社社長へのインタビューからです。
前回お伝えしたPDCAサイクルのP(Plan)を覚えていますでしょうか?
『ISMSの確立:組織全体の目標を設定し、それに沿ったISMS基本方針や手順を決める』でした。
ISMSは組織の目標を設定することから始まります。
組織のトップである社長へのインタビューでまずはISMSの根底となる組織の目標を明確にしていきます。

基本方針や手順を定めて運用していく

必要なのは、情報資産の洗い出しとリスク対応計画です。そのためにまず業務ヒアリングを行います。
これは日々の業務で生まれる情報資産(情報セキュリティ対象となるもの)をすべて洗い出す作業となります。
自社サービス運営上で生じる個人情報や経理・総務業務で生じる書類、PCなどのデバイス機器も対象です。

そして、ひとつひとつの情報資産について具体的に掘り下げて管理方法のヒアリングを行います。
特に重要な要配慮情報についてはリスク対応計画や目的管理表を作成し、更に客観的評価ができるように管理目標を定め、その目標を達成するための仕組みを考えました。

この作業で大変ありがかったのは、コンサルタントの方が必要な箇所だけをヒアリングして効率よく進めてくれたことです。
一人でやっていたら何倍も時間がかかったことでしょう。
そして何より、専門書に並んでいるような難しい専門用語を使わずに導いてくれることでこちらも気負いなく対応できました。

社員教育

担当者の大きな役割の一つが社員教育の実施です。
社員教育は社内に情報セキュリティの知識や必要なルールを行きわたらせる為に行います。今回は、情報セキュリティ概要テキストの読み合わせと簡易テストを行いました。

それに加えて、各社員の良識に任せていた部分を『社内ルール』としてすべて文章化。
社内の専門部署とともに社内のセキュリティルールを作成しました。

また、エンジニアである当社社長の助言を元にシステム管理者と連携してデバイスの管理を進めていることも周知して、情報セキュリティに対する取り組みを社員全体の共通認識としました。

コンサルタントや各担当者との連携

ここまでの準備内容でお分かりかとは思いますが、ISMS担当は社内各部署との連携無しでは成り立ちません。
大きな会社であればあるほど、自分以外の社員がどのように業務を行っているか詳細に把握することは難しいはずです。特に自身が専門家でない限り、システム担当者とは密なやりとりが必要になってきます。
コンサルタントの方からの指摘に沿って社内の体制や環境を変えることもあるので、その場合は各部署への働きかけも行います。

前回、『担当者に一番必要なスキルはシステムの知識でもISO27001の知識でもなく
「コミュニケーション能力」』とお伝えしていたのはこの為です。

認証機関との契約や取得までの費用は?

審査準備の中の一つに認証機関との契約があります。
コンサルタントの方に認証機関の選定と審査の予約をしてもらい、実際の契約はコンサルティング会社を通さずに直接行いますので審査準備と並行して契約と支払いを進めましょう。

審査費用は認証機関ごとに異なります。
また、社員の人数に因っても変わってきますが初回審査費用としては55~100万円程です。

コンサルティング会社のサポートを受けるときはその費用も別途かかりますので各コンサルティング会社のホームページをご確認ください。

HOW MUCH?

次回は~内部監査そしてついに一次審査!~についてお伝えしようと思います。

【参考】
株式会社スリーエーコンサルティング(3AC)
https://www.isosoken.com/lp-isms-shinki/