ISMS構築支援サービス

情報セキュリティ管理環境構築を支援いたします。

ご支援内容

御社の情報セキュリティを、ISMS (ISO 27001:2013)を基本として管理する環境の構築支援を行います。
ISMS認証取得を目的としたものではなく、情報セキュリティ対策として、最低限、管理しなければいけないことをルール化し、日常業務に影響しない範囲で運用するためのISMS環境構築を支援いたします。

1 適用範囲の検討

会社全体、ある部門のみ、ある拠点のみなど、どの範囲にISMSを適用するか決定します。
決定した適用範囲をベースに社内体制を確認し、管理責任者や監査責任者等の組織を仮決定し、構築するまでの大まかなスケジュールを作成します。

2 方針の決定

適用範囲における情報セキュリティの取り組みに関する基本方針を決定していきます。ISO 27001:2013をベースに、適用範囲に即した基本方針を作成します。

方針の決定

3 リスクアセスメント支援

【情報 資産洗い出し】
適用範囲で、どういった情報資産が存在しているかを洗い出すための台帳を提供します。
情報資産を洗い出し、台帳に取りまとめることで守るべき対象が明確になります。

【詳細リスク分析】
全ての情報資産について、どのようなリスクが想定されるかを明確にします。
そして、そのリスクが発生した場合の影響範囲などからリスクを評価し、対応が必要なリスクを洗い出します。

【リスク対応計画作成】
対応が必要なリスクについて、誰がいつまでに対応するかなどの計画を作成します。

【残留リスク承認】
対策をとっても残るリスクや、認識はしているけれども経営的な判断で対応を見送ることとなったリスクなどを、残留リスクとして経営陣に承認を得ます。

3 リスクアセスメント支援

4 文書支援

基本方針、規定、手順、記録用の様式の各文書作成を行います。
[オプション]ISO 27001:2013への準拠が必要な場合は、規格の要求事項全てに対し対応策を検討し、適用宣言書を作成します。
※オプションは、別途お見積り。

5 従業員教育の実施

主要な従業員に対し、ISMSの開始教育を実施し、理解度確認テストを行います。
教育を受けた従業員は、同様な方法で他の従業員の教育を行います。
[オプション]その他の従業員への教育も実施します。

6 内部監査

組織がISMSの規定、手順を順守しているかどうかを監査するための体制、手順、チェックリスト等の様式(記入例付き)を提供します。
[オプション]第1回目の内部監査に同行し、アドバイスを行います。

7 マネジメントレビュー   [オプション]

経営陣に対して、ISMS活動の成果報告用の資料を作成します。
ISMSの改善の必要性やリスクアセスメント及びリスク対応計画の更新について検討し、更に会社に合った形でのISMS活動を支援します。

※ 本サービスはISMS(ISO 27001)認証取得を保証するものではありません。

マネジメントレビュー