SERVICE
サービスの概要ISO27001(ISMS)の新規取得の場合、情報セキュリティ体制構築・文書の整備から審査対応支援まで、取得に必要な支援をパッケージで提供いたします。ISMSの枠組みを利用して社内の情報セキュリティレベルを向上させたい、従業員の情報セキュリティへの意識を高めたいなど様々なご要望に応じてコンサルティングサービス内容を個別で提供しています。
ISO27001とISO27017の同時取得や維持・更新の対応も可能です。ISO27017については、「クラウドサービスセキュリティの概要」からサービスなどをご確認ください。
SOLUTION
企業が直面する課題と解決具体的にはこのようなセキュリティに関する課題が存在しています
課題
ISMS活動が形骸化している
ISMS活動が単に書類を作るだけの作業と化しており、情報セキュリティの維持、向上という効果が見られない。
解決
効果を生み出すためのISMS
規格に精通したコンサルタントが、企業の実態にあった本質的、効率的な仕組みに再構築するお手伝いをいたします。
課題
最近のセキュリティ脅威に対応できるか不安
認証取得時から文書や運用を更新しておらず、最近のセキュリティ脅威に対応できるかわからない。
解決
技術・法令等の変化に沿った改善策の提案
法令・規格等の変更や新たなリスク、情報セキュリティの最新動向への対応策をご提案し、さらなるセキュリティの向上をご支援いたします。
課題
Pマークのマネジメントシステムや既存の社内体制と重複が多い
Pマークのマネジメントシステムや既存の社内体制とISMSの統合を図り、運用を効率化したい
解決
お客様の実情にあったマネジメントシステムのご提案
ヒアリングや各種文書の精査を行い、お客様の実情にあったマネジメントシステムを設計・提案させていただきます。
FEATURE
サービスの特徴情報セキュリティに対する戦略的アプローチ
ISMSの本質はリスクのコントロールにあります。私たちのコンサルティングは「その企業にとって、なぜ情報セキュリティが必要なのか」というところから入っていきます。情報セキュリティに対する価値観や目的を形成し、経営層や関係者と共有することで、経営に貢献するマネジメントシステムの構築につなげていきます。
FLOW
サービスの流れ- 1.リスクアセスメント実施支援
- ISO27001で要求されるリスクアセスメントを効率的に実施し、情報セキュリティ対策の土台を築きます。
- ・業務分析や情報資産の洗い出し方法についても提案し、抜け漏れのないリスク評価を支援します。
- ・手間のかかるリスクアセスメント表の作成を削減し、業務負担を軽減します。
- ・課題を洗い出すためのツールを提供し、効率的なリスク分析を実現します。
- 2.ISMS運用支援
- ISMSを継続的に運用し、情報セキュリティ対策の効果を最大限に高めます。お客様の状況に合わせてコンサルティングをおこないますので、想定外のコストなどが発生することはありません。
- ・ISMS運用の問題点を洗い出し、改善策を提案します。
- ・運用の効率化をサポートし、業務負荷を軽減します。
- ・他社でのセキュリティ実装情報のご提供により、先進的な対策を取り入れることができます。
- ・お客様の状況に合わせたコンサルティングを行い、最適な運用方法をご提案します。
- 3.内部監査支援
- 定期的に内部監査を実施し、ISMSの有効性を検証します。
- ・ISMSの整備状況及び運用状況を監査し、改善点を見つけ出します。
- ・ドキュメントレビュー及び実地調査を実施し、徹底的な検証を行います。
- ・ISMS活動における課題を洗い出し、情報セキュリティレベルの向上につなげます。
- ・監査結果に基づいた是正活動の支援を行い、ISMSの継続的な改善を促進します。
- 4.認定審査支援
- ISO27001認証取得に向けて、審査機関との連携をサポートします。
- ・ISMS審査機関の選定・ご紹介を行い、最適な審査機関を見つけ出すお手伝いをします。
- ・次年度以降のサーベイランス・更新審査時のポイント解説を行い、スムーズな審査対応を支援します。
- ・審査後の是正対応まで担当コンサルタントがサポートし、認証取得後の円滑な運用に貢献します。
- ・ご要望に応じて審査への同席も可能で、お客様の不安を解消します。
SCHEDULE
一般的なプロジェクトの流れ- ISO27001-
- START 〜 3ヶ月 -構築期間-
- STEP① - 業務分析
STEP② - 情報資産調査
STEP③ - リスクアセスメント
STEP④ - 詳細管理策の確定
- 3ヶ月 〜 5ヶ月 -運用期間-
- STEP⑤ - ISMS文書の策定
STEP⑥ - 社員研修支援
STEP⑦ - ISMS実装支援
- 5ヶ月 〜 8ヶ月 -申請対応期間-
- STEP⑧ - ISO27001申請
STEP⑨ - 1stステージ(文書審査)
STEP⑩ - 2stステージ(現地審査)
※審査の指摘対応に関するアドバイスも行います。 - 8ヶ月〜 ISO27001(ISMS)認定
ISO27017
クラウドサービスセキュリティの概要※ISO27017はクラウドセキュリティまたはクラウドサービスセキュリティと呼ばれ、ISO27001(ISMS)取得企業がクラウドサービスを提供・利用している場合に準拠する規格であり、ISO27001のアドオン認証となります。
ISO27017は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。近年クラウドサービスは、その利便性と拡張性、自社でシステム構築をする場合と比較したコストメリットの点から多数の企業で急速な導入とともに、セキュリティ面に関しての関心が高まってきています。
情報セキュリティ全般に関するマネジメントシステム規格ISO27001の取り組みをISO27017で強化することで、クラウドサービスにも対応した情報セキュリティ体制を構築することができます。また、ISO27001とISO27017両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。
クラウドサービスを利用している事業者も同様に、サービスの利用においてクラウドサービス特有の情報セキュリティ対策に取り組んでいることを証明することが可能となります。
ISO27017(クラウドサービスセキュリティ)取得支援
ISO27017(クラウドサービスセキュリティ)を取得するためには、ISO27001(ISMS)の認証を取得している①クラウドサービスを提供している事業者(クラウドサービスプロバイダ(CSP))、②クラウドサービスを利用している事業者(クラウドサービスカスタマ(CSC)が対象となります。クラウドサービスの提供をするにあたって、他事業社の提供するクラウドサービスを利用している場合は、クラウドサービスプロバイダ(CSP)とクラウドサービスカスタマ(CSC)の両方に該当します。
・クラウドサービスを提供している事業者
・クラウドサービスを利用している利用者
・クラウドサービスを利用し、クラウドサービスを提供している利用者
クラウドサービスは便利である一方で、これまでの情報セキュリティの範疇に留まらない様々な脅威が存在します。実際に、自社へのクラウドサービスの導入を躊躇している企業は多く実在することも現実です。クラウドサービスを導入しない理由としては下記のようなことが言えます。
・セキュリティや安全に対する不安
・購入メリットが判断できない
・既存システムの改修に必要なコストが大きい
日本のクラウド市場の規模は年々増加しており、2021年時点で数兆円規模とされています。特に、企業のデジタル化の進展やIoT、ビッグデータ、人工知能(AI)などの先端技術の導入に伴い、クラウドサービスの利用が拡大しています。しかしながら、ユーザーのクラウド導入における運用コストや移行コスト、セキュリティへの懸念をクラウドサービス提供業者が払拭できていないのが現状課題としてあります。よって、クラウド普及の阻害要因になっていることは明らかです。
ユーザーが安心してクラウドサービスを導入するためには、クラウドサービス内容の他一層の差別化が必要となります。
当社では、クラウド事業者がユーザーからの信頼性の向上を得る為のセキュリティ支援を行い、セキュリティ体制を整えることでクラウド事業者、システム構築事業者の充実化の支援を行います。
SCHEDULE
一般的なプロジェクトの流れ- ISO27017-
- START 〜 2ヶ月 -構築期間-
- STEP① - 業務分析
STEP② - ISO27017追加管理策とのGAP分析
STEP③ - リスクアセスメント
STEP④ - ISMS文書の改訂
- 2ヶ月 〜 4ヶ月 -運用期間-
- STEP⑤ - ISO27017準拠実装
STEP⑥ - クラウドセキュリティに関する社員教育
STEP⑦ - ISO27017追加管理策の内部監査
- 4ヶ月 〜 6ヶ月 -申請対応期間-
- STEP⑧ - ISO27017申請
STEP⑨ - 審査 ISO27001との同時審査もしくは拡大審査
- 6ヶ月〜 ISO27017(ISMS)認定
STRONG POINT
当社のコンサルティング情報セキュリティに対する戦略的アプローチ
当社のコンサルティングは「その企業にとって、なぜ情報セキュリティが必要なのか」というところから入っていきます。情報セキュリティに対する価値観や目的を形成し、経営層や関係者と共有します。 その上で、組織外部の変化(社会動向、法令改正等のマクロ分析)、組織内部の変化と課題などを踏まえ、情報セキュリティ活動の組み立て、目標設定(総称して「セキュリティ戦略」と呼びます)をおこなうのです。リスクアセスメント、パフォーマンス評価、マネジメントレビュー等のPDCAの核となる施策を、セキュリティ戦略により繋いでいき、有機的なPDCAが実現します。
セキュリティ技術セクションによる問題解決
当社は、セキュリティ技術セクションという技術専門のチームを有しています。 セキュリティに関する技術的な課題に直面した場合、あるいはシステムリプレイスに伴いセキュリティ対策の見直しが必要になった場合、当社は具体的なソリューションを提案し、お客様にあったサービス、ベンダーの採用を支援します。ドメインコントローラーのポリシーをどのように設定すべきか、監視ポリシーをどう組み立てるか、など技術的な側面からお客様の問題を解決します。
審査機関との連携
当社は、様々な審査機関と連携することで、最新の審査動向をキャッチしています。ISMSに対する意見交換を各審査機関の主要な審査員とおこない、業界全体の啓蒙にも取り組んでいます。また、お客様に最適な審査機関を提案することで、確実な認証取得と組織にあったセキュリティ施策の導入を実現します。
FAQ
よくある質問Q. ISMSとは何のことですか。
A. Information Security Management System 情報セキュリティマネジメントシステムの略です。
Q. ISO27001(ISMS)の認証取得にはどのくらいの期間がかかりますか。
A. 通常8ヶ月ほど掛かります。お急ぎの場合は、ご相談ください。構築期間(業務の分析、情報資産の調査、リスクアセスメント、情報セキュリティ対策の決定)、運用期間(ISMS文書の策定、セキュリティ対策の実装、社員研修、内部監査)、審査対応期間(申請、1stステージ、2ndステージ)を経ての認証取得となります。
Q. ISO27017の認証取得にはどのくらいの期間がかかりますか。
A. 通常6ヶ月ほど掛かります。お急ぎの場合は、ご相談ください。構築期間(業務分析、追加管理策とのGAP分析、リスクアセスメント、ISMS文書の改訂)、運用期間(社員研修、内部監査)、審査対応期間(申請、審査対応)を経ての認証取得となります。
Q. ISO27001(ISMS)とISO27017の同時取得はできますか。
A. はい。同時取得のご支援も可能です。
Q. ISO27001(ISMS)の認証は取得せず、ISO27017のみを取得することはできますか。
A. できません。 ISO27001(ISMS)のアドオン認証となるため、ISMSの認証取得が必須となります。
Q. ISO27017を新たに認証取得する場合、認証登録審査はいつ受けることができますか。
A. ISO27001(ISMS)の審査のタイミングと合わせて登録審査を受けることができます。また早期取得したい場合は、ISO27001(ISMS)の審査タイミングを待たずにISO27017のみの登録審査を受けることもできます。
サービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。ISMSに関するご質問・ご相談・お見積もりは無料です。