ISMSとは
ISMS適合性評価制度は、情報資産のCIA(「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」)を保護するための体系的な仕組みである情報セキュリティマネジメントシステム(ISMS)が、適切に運用管理されているかを、利害関係のない公平な立場から審査し証明する制度です。
ISMS認証の取得のためには、国際規格であるISO/IEC27001に基づき、ISMSが適切に構築され、かつ、運用されていることが必要となります。自組織でISMSを適用する適用範囲内を決定し、その適用範囲内で採用すべき管理策を選択するなどの特徴があります。
なお、ISMS認証は国際規格であり、海外でも通用する点が大きなメリットです。
当社のISMSコンサルティングのメリット
審査員資格もしくは情報処理安全確保支援士資格を保有するコンサルタントを担当に選任します。
ISMS認証取得コンサルティング価格65万円(税込)~の設定で、業界最安水準を実現しています。
20年以上にわたりISMS認証の取得や更新に関して、全国・多業種のお客様を支援させて頂いた実績に基づく高品質なコンサルティングサービスの提供をお約束します。
ISMS審査合格率100%を保証します。(当社の責により、ISMS認証を取得・更新できなかった場合には返金対応いたします)
審査合格までをコンサルティング範囲とし、審査都合によるコンサルティング期間延伸については、追加費用が発生しない「原則ワンプライス制」を採用しています。
お客様の文書作成作業を、審査における審査員との質疑応答に問題なく対応頂ける前提で、最大限削減しています。また、コンサルタント側で作成した文書全ては、お客様にて編集可能な形式でご提供します。
認証取得にあたり、既存の個人情報保護に関する規程や資料類を継続活用したいというご要望にも対応します。(当社ひな型文書を全面採用頂くことは必須としません)
他社のコンサルで認証取得後に当社にご依頼いただく場合でも、対応可能です。
サービス概要
ISMS認証の取得、維持及び更新、情報セキュリティマネジメントシステム(ISMS)の運用における年間運用サポートや、教育や内部監査などのイベントのみの支援など、ISMS認証に関する全ての範囲を網羅した支援が可能です。
- ISMS認証取得コンサルティング
- ISMS認証更新(維持)コンサルティング
- 情報セキュリティマネジメントシステム(ISMS)年間運用サポート
- 情報セキュリティマネジメントシステム(ISMS)準拠の教育
- 情報セキュリティマネジメントシステム(ISMS)準拠の内部監査
- 情報セキュリティマネジメントシステム(ISMS)準拠のリスクアセスメント
本コンサルティングは、2025年に発行された審査基準である【JIS Q 27001:2025(ISO/IEC 27001:2022+Amd 1:2024)】に対応しています。
コンサルティングスケジュール
標準スケジュールのイメージ図
ISMS認証取得コンサルティングの認証取得までのスケジュールについて、イメージ図をご確認ください。(画像クリックで拡大表示)。
本コンサルティングは、Mtgと呼んでおります打ち合わせの中で、コンサルタントが用意する資料等に基づく説明と検討実施により進めていきます。標準スケジュールは、ISMS認証の確実な認定取得を目指す事業者様向けに最適化した支援内容となっております。
なお、「可能な限り最早で取得したい」「できるだけ負担を減らして取得したい」「既存の内部規程を活用したい」といったご相談なども受け付け可能ですので、Web見積の依頼及びお問い合わせをお待ちしております。
また、当社コンサルティングサービスの特長についても、ぜひご確認ください。
標準スケジュール及びMtgについて
ISMS認証取得コンサルティングにおける「準備フェーズ」はお客様のご要件により短縮可能です。
ISMS認証取得コンサルティングでは、受審日程について、原則審査申込時点でお客様と審査機関の間で決定頂くものとなります。標準スケジュールでは、弊社実績に基づき、平均的な審査日程の設定を示しております。
Mtg以外にも、お客様内部で発生した質疑への対応や、不明点の確認実施などを目的とした個別打ち合わせが可能です。
ISMSの取得方法
ISMS認証の取得には、ISMSの規格である「ISO/IEC 27001」規格の国内版である「JIS Q 27001」に定められている要求事項を充足するための内部規程の制定と、内部規程に基づき運用した情報セキュリティマネジメントシステム(ISMS)の運用証跡が必要になります。
そのうえで受審する審査機関を選定したうえで、申し込みを行い、現地審査において内部規程と運用証跡を審査員に提示しながら現地審査を受審したうえで、ISMS認証が認定されることとなります。情報資産の特定とリスクアセスメント・内部規程の制定・PMSの運用・申請から受審及び認定まで、各フェーズの留意すべきポイントは以下となります。
| フェーズ | 留意すべきポイント | 備考 |
|---|---|---|
| 情報資産の特定とリスクアセスメント | ・適用範囲内の情報資産を、原則全て台帳に登録するなどして管理対象である旨を明確にしていきます。 ・ドキュメントやデータ等の情報だけでなく、情報セキュリティの対象となるソフトウェアやハードウェアなども特定の対象とします。 ・特定した情報資産に対し、CIAによる分析結果と、自組織に関連する脅威と脆弱性により、想定されるリスクに応じたリスク対策を検討し、決定した内容を記録します。 | 情報資産の特定は、必ずしも個々の情報資産を全て挙げる必要はありませんが、情報資産の取り扱い内容が同じであってもCIA分析結果が異なる場合は個別に特定することが推奨されるなど、遵守すべき事項があります。 |
| 内部規程の制定 | ・審査基準における要求事項を可能な限り順番通りに忠実に規定化していきます。 ・JIS Q 27001の本文にあたる要求事項は全て規定化し、管理策についてはその適用を宣言したうえで規定化する流れとなります。 | JIS規格で要求されている管理策について、具体的なセキュリティ対策は、JIS Q 27002規格を参照し、ベストプラクティスの中から選択することも可能です。 |
| ISMSの運用 | ・教育及び監査は、適用範囲に属する従業員及び組織に対して行います。 ・ISMS運用開始後、初回のマネジメントレビューは見直すべき事項が発生しない可能性が高くなりますが、見直しの必要性がなくても実施し、証跡を残しましょう。 | 内部規程に基づく運用が必要となります。計画書の作成や運用証跡として作成する様式種類など、規定と運用を合致させておきましょう。 |
| 申請から受審及び認定 | ・申請に先立って審査機関に見積依頼を行い、提示された見積に基づいて申し込みを行います。 ・取得時の審査は、通常1stステージと2ndステージの2段階で実施されます。厳密ではありませんが、1stステージでは文書審査、2ndステージでは現地審査が実施されます。従って、審査は複数日にまたがって行われるケースが多くなります。 | 審査における現場確認は適用範囲全体に対して行われます。適用を宣言している管理策は原則実施状況を確認されます。 |