ISMS（ISO 27001）認証取得のための情報セキュリティマネジメントシステム構築の流れ

2025/07/08

ISMS解説資料. 47 views

ISMS（ISO/IEC 27001）の認証取得までの活動は、組織の事情や状況により、ステップや内容がそれぞれ異なります。

上図は、一般的なISMS（ISO/IEC 27001）認証取得までの活動（ステップとタスク）の流れを示したもので、以下では、その流れに沿って事前確認事項から取得まで段階を順を追って、概要を解説しております。

ISMS（ISO/IEC 27001）の認証取得を計画する際、全体像の流れ及びタスクを把握するためのご参考にして下さい。

※「ISMS認証取得支援パッケージ」収録の「ISMS認証取得支援ガイド」は、ISMSサンプル文書集及びISMS社員教育用テキストを用いた場合の手順となります。上図及び以下の内容とは異なります。
※なお、「ISMS認証取得支援パッケージ」に収録されている「ISMSサンプル文書集」は、以下のタスクでつくる文書（マニュアルや規程書、様式）を具体的に示しているため、ISMSの理解と自社にあわせた文書作りを支援します。
※また、同収録の「ISMS社員教育用テキスト」は、ISMS運用面で実施すべき教育ステップでお役立ちできるテキストとなっています。

1. 事前確認

スケジュールの確認

ISMS（ISO/IEC 27001）の認証取得に向けた取得活動のためのタスクスケジュール（計画）を立てます。
ISO27001の認証取得活動は、稀に5ヶ月といった短期間で認証取得される組織もありますが、通常は、文書の作成およびその運用実績が必要となるため、8ヶ月から12ヶ月程度かかります。
ISMS（ISO/IEC 27001）は認証取得した後も、運用を続けていくことになります。
無理のないスケジューリングを行いましょう。

ワーキンググループの設置

ISMS（ISO/IEC 27001）認証取得活動を進めるための推進チーム（ワーキンググループ）を設置します。
グループメンバーは、ISMS（情報セキュリティマネジメントシステム）が組織全体で運営するため、通常、関連部門の代表者からなります。その際、グループのリーダーも決めておきます。
リーダーは、ISMS（情報セキュリティマネジメントシステム）運用開始後、管理責任者として、組織のISMS（情報セキュリティマネジメントシステム）運用を行う実質の責任者となります。

情報セキュリティ方針の作成

「情報セキュリティ基本方針」とは、組織のISMS（情報セキュリティマネジメントシステム）に対する基本的な考え方を示すと同時に、組織として情報セキュリティに関する要求事項に対して責任を負うという意思表示という重要な文書となります。
よって、通常は、ISMS（情報セキュリティマネジメントシステム）の対象範囲である「トップ」（会社であれば、代表者。部門であれば、部門長。）が作成することとなります。

キックオフ宣言

ISMS（情報セキュリティマネジメントシステム）の適用範囲の代表者は、朝礼や掲示、配布などといった方法で、関連する全てのスタッフに協力を要請する意図も込め、ISMS（情報セキュリティマネジメントシステム）導入スタートを示します。

組織の内外部の課題と利害関係者のニーズの理解

組織の目的に関連し、かつISMS（情報セキュリティマネジメントシステム）に影響を与え得る外部及び内部の課題を決定します。
また、関連する利害関係者およびそれらに関連する要求事項（法的及び規制の要求事項並びに契約上の義務など）とISMS（情報セキュリティマネジメントシステム）を通して取り組むべきものも決定します。

適用範囲の確認と関連資料の作成

組織の内外部の課題と利害関係者のニーズを踏まえ、適用範囲内にある重要な情報資産の取扱いが適正に保たれるよう、1つの組織体としてISMS（情報セキュリティマネジメントシステム）の適用範囲を決定する必要があります。
適用範囲に関連した資料として、以下のものを作成します。

組織図
周辺地図・ビル全体図
フロア図
ネットワーク図
業務フローなど

2. 教育

導入教育

ワーキンググループは、ISMS（情報セキュリティマネジメントシステム）に関すること及び情報漏えいにより、組織および関連組織などにどのような被害が起こるか、どのようにすれば情報漏えいが防げるかを、事前に勉強会などを行い学びます。

教育・啓蒙

ワーキンググループ以外の社員は、ISMS（情報セキュリティマネジメントシステム）がどのようなルールのもとに成り立っているのか分かっていないため、ワーキンググループは、運用開始にあたり、規程書等を利用し、各部門で説明会などを開き、運用の支援を行います。

内部監査員の育成

内部監査を実施するための内部監査員候補者を選定し、内部監査員を養成します。
初めての運用の場合は、ワーキンググループメンバーが内部監査員としての役割を担うと良いでしょう。

3. 規定と目的と計画書の作成

ISMS（情報セキュリティマネジメントシステム）で作成する文書には、大きく分けて、ベース規定（フレームワーク的なもの）と情報セキュリティの管理策に関する規程、リスクマネジメントに関する規程があります。

ベース規定の整備

ISMSマニュアル
運営管理のための規定
推進体制図
セキュリティ事件および事故
事業継続
法的要求事項への遵守
内部規程への違反
知的財産
プライバシー及び個人情報（PII）の保護
文書管理
苦情及び相談への対応
点検及び内部監査
代表者の見直し
不適合及び是正処置
管理策の有効性評価

管理策に関する規定の整備

人的対策に関する規定（教育および力量など）
物理的および環境的対策に関する規定（入対室管理、資産持ち出し、作業報告など）
技術的対策に関する規定（ハードウェア、ソフトウェア、アカウント、システム開発及び保守など）

リスクマネジメントの規定作成

確定された情報資産のリスクアセスメントおよびその結果に対するリスク対応に関する規定を作成します。

資産の評価
グルーピングと平準化
関連脅威の洗い出しと見直し
リスク受容の基準を確立
リスクの分析
リスクの評価
リスクの対応
適用宣言書の作成

各種規定の変更及び追加

リスクマネジメントの結果、リスク対応の選択肢の実施に必要な管理策において、既存の各種規定に変更及び追加等が必要ならば実施します。
あわせて、適用宣言書を作成します。

情報セキュリティ目標と計画の策定

情報セキュリティ基本方針と整合し、リスクマネジメントの結果を考慮に入れた年間情報セキュリティ目標を確立し、組織のISMS（情報セキュリティマネジメントシステム）をどのように運用するかについての年間情報セキュリティ計画書を策定します。

4. リスクマネジメント

情報資産の確定

ワーキンググループは、関係者の協力を得て、取り扱っている情報資産を特定します。
資産の管理者や形態、保管の形態や場所、保管期間、廃棄の方法、用途、利用者の範囲、他のプロセスとの依存性などについて台帳などにまとめます。
なお、この作業はリスクマネジメントにおけるリスクの認識、分析・対策へ繋がります。

リスクマネジメントの実施

定めたリスクマネジメントに関する規定に従い、リスクアセスメントを実施し、その結果を考慮し、リスク対応計画を実施します。
なお、ISMS（情報セキュリティマネジメントシステム）を運用開始すると、あらかじめ定めた間隔又は重大な変更もしくは重大な変化が生じた場合、リスクアセスメントを実施することになります。