ISO27001:2022移行支援

新規管理策は、具体的には以下の11項目となります。

5.7 脅威インテリジェンス
5.23 クラウドサービスの利用における情報セキュリティ
5.30 事業継続のためのICTの備え
7.4 物理的セキュリティの監視
8.9 構成管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏えい防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュリティに配慮したコーディング

これらの中には、従来の規格でも実態としては求められていたものが明文化されただけの管理策（例えば「8.10 情報の削除」）もあれば、完全に新規の管理策（例えば「5.7 脅威インテリジェンス」）もあります。

規格は抽象的な要求事項の記載に留まっており、具体的に求められている対応内容が何か、審査上必要最低限の水準はどこか、といったことは読み取れません。
「何を」「どこまで」やるかの決定が、新規管理策対応のポイントとなります。
当社では、管理策の目的やベストプラクティスのリストとなるISO 27002を踏まえて、各社に実態に合わせた管理策の選択をおこなうところからアドバイスをおこなっています。

各社に合わせたISMSの構築

当社は、ISMS認証制度が全業種に適用となった2002年からISMS認証取得コンサルティングを開始しており、長年にわたりISO 27001に基づく適切な情報セキュリティ運用を研究してきました。現在はISO 27017やISMAPの支援についても多数の実績を有し、規格の要求事項を広く、深く理解している自負があります。

残念ながら、ISMSコンサルタントを名乗る業者の多くは、一律の雛形を提供し、審査を乗り切るテクニックの伝授に終始している状況です。
当社のコンサルティングサービスの特徴は、顧客の事業、システム、構成メンバーをの状況を理解し、現状を分析した上でコンサルティングを進めることにあります。現状の課題（As　Is）を踏まえた上で、どのようなゴール（To Be）を設定するか、そこから企業と向き合うことが他社にないサービスの強みです。

1.新規格に対応したISMS構築

【1】現状分析
各社の事業の内容、情報資産の取扱い状況、システムの状況、情報セキュリティ規程群の整備状況について確認します。その上で、ISO 27001:2022との差分を抽出（GAP分析）し、未対応部分について新規格の専門的な見地から、今後の運用案をご提案します。

【2】規程類・様式改訂
GAP分析フェーズでご提案・決定した運用に基づき、規程類の改訂を行います。
また、例えば適用宣言書やリスクアセスメントシートなど、規格文言に基づき作成する様式について、新規格対応のための改訂を行います。

【3】新様式運用支援
特に改訂した様式について、新運用や規程類に基づいて内容の記載案をご提案します。

2.新規格に基づく運用

移行審査にあたっては、リスクアセスメント・教育・監査・マネジメントレビュー等、PDCAサイクルを新規格準拠で一巡させることが求められます。当社では単に規程・様式を改訂するだけではなく、各種の運用についても新規格に合わせて効果的実施できるようサポートすることが可能です。下記はサポート内容の例です。

【1】リスクアセスメント
リスクアセスメントは情報セキュリティ課題を検出した上で、課題に対するアクションプランを立案することがゴールです。情報セキュリティ課題の抽出にあたって、当社では最も有効な手法とされる、ベースラインアプローチを採用しています。ベースラインとなる基準をISO 27001:2022に合わせてチューニングし、新たなリスクの検証、リスク対応計画の立案を進めます。

【2】適用宣言書の見直し
リスクアセスメントの結果、ISMS文書の改定状況に合わせて、適用宣言書の見直しをおこないます。適用宣言書を正しく作成することが、ISO 27001:2022への移行審査の肝になります。今回は附属書Aの構造が大幅に変わったことで、自社で対応するのは相当に骨が折れます。適用宣言書の見直しについて、当社のコンサルタントが全面サポートするのでご安心ください。

【3】力量管理／認識
ISO 27001:2022に合わせて、情報セキュリティ教育コンテンツの刷新をおこないます。全社員研修のみならず、ISMS事務局向け研修、部門キーマン向け研修などの階層別研修プログラムの整備も可能で、情報セキュリティスキルマップに沿った力量管理も実現します。
当社がご提案する教育コンテンツの特徴は、顧客の課題やリスクに沿ったコンテンツ、最新の脅威やインシデントの動向、ケーススターディやグループディスカッションを交えた双方向型のコンテンツなどを含む充実した内容になっています。

【4】内部監査
当社の監査は、ISO 27001:2022への準拠性を担保するための文書監査および事務局監査、現場の運用状況を確認する運用監査から構成されます。 ISO 27001:2022および改定した自社のISMS文書に沿った監査基準（監査チェックシート）に沿って当社の監査員が監査をおこないます。
われわれの特徴は、文書重視ではなく、実態重視の監査です。PDCAを変形した造語にCAPDoというものがあり、まずCheckから始めることで、PDCAサイクルがうまく循環すると言われています。
Checkの核となる監査をプロの目でおこなうことで自社の課題を直視することがでい、その後の活動の組み立てがしやすくなります。

【5】マネジメントレビュー
年間活動の総決算がマネジメントレビューですが、形式的な対応にとどまっている企業が大半です。自社の現状、世の中の動向、法規制の変化などを題材に経営層の意思決定につながるインプットをおこない、次年度の活動の目標、指針を明確にします。

3.移行審査対応

移行審査に向けて、最新の審査動向に基づいて、対応に抜け漏れがないかの最終確認をおこないます。トップマネジメント、事務局メンバー、受審部門の担当者に対して、審査のシミュレーションをおこなうことも可能です。ご要望頂いた場合は、トップインタビュー、事務局審査については同席が可能です。審査の指摘事項に対しても、当社側でスピーディーに改善案を提示しますので、確実な認証取得、新規格移行をお約束します。