ISO/IEC 27001 (ISMS)： 情報セキュリティマネジメントシステム認証

経営陣、意思決定者、リスク管理責任者向けに設計されたこの1日ワークショップでは、ISO 27001をプロジェクトや通常業務に適用できる、具体的で測定および達成可能であり、関連性の高い期限付きのSMART活動や達成目標に展開します。

完了後、ISMS認証の範囲を確定し、それ以降は規格の箇条4の一部として、マネジメントレビューやその他の関連プロセスで使用することができます。

このワークショップでは、組織の他の部門を巻き込むためのアイデアや、他のセキュリティまたはコンプライアンス体制（PCI DSSなど）のために行っている作業をISO/IEC 27001:2022（ISMS）に導入する方法についても説明します。

このレビューは、規格の主な要求事項を基軸としており、経営陣、意思決定者、リスク管理責任者向けに作成されています。ISO/IEC 27001:2022の箇条4から箇条10までの条項に対する組織のコンプライアンスを判断し、コンプライアンスの実現に向けた、お客様のビジネス目標に特化したカスタマイズされた計画を提供します。

LRQAの専門家は、ISO/IEC 27002:2017のガイドラインを参考に、実質的およびコンプライアンスの手法を組み合わせて、お客様のセキュリティ対策をISO/IEC 27001の附属書Aの管理策に照らして評価します。このレビューでは、お客様の組織全体を網羅的に調査し、セキュリティ対策とリスクレベルの評価を提供するとともに、それらのリスクに対処するためのSMARTな活動/目標を作成する能力を提供します。その他の主な成果物には、適用宣言書（箇条6）と実行計画書の作成が含まれます。

リスクマネジメントは、ISO/IEC 27001の重要な要素です。お客様と協力し、規格の要求事項を満たし、お客様の組織に適合したリスクマネジメントシステムを構築します。リスクマネジメントシステムは、お客様のISMSに組み込まれ、適用宣言書とともに認証に必要なリスクアセスメントプロセス（情報セキュリティリスクアセスメントとリスク対応を含む）を確実に実施します。

お客様のデータを保護し、ISO 27001の要求事項を満たすためには、第三者のリスクマネジメントが不可欠です。LRQAの専門家がお客様と協力して第三者のリスクレベルを判断し、それらを管理するための評価プロセスを設計いたします。また、お客様に代わってリスク評価を実施し、リスクの所有者に対してリスクを報告し、改善策を提案することも可能です。

内部監査は、情報セキュリティマネジメントシステムの完全性と有効性を維持するための基盤となります。定期的に内部監査を実施することで、改善が必要な領域を特定できるだけでなく、ISO 27001および規制要件への遵守も確保できます。

LRQAのチームが、お客様に代わって円滑に包括的な内部監査を実施し、ISO 27001 箇条9.2の遵守を確保するとともに、継続的な改善の文化を構築します。LRQAの支援により、お客様は確信を持って監査プロセスを推進、改善の機会を特定、また情報セキュリティの優れた取り組みを維持することができます。規格やプロセスに習熟するにつれ、この業務を社内で行うか、LRQAに委託して代わりに実施するかを選択することができます。

ISO 27001 は、情報セキュリティマネジメントシステム (ISMS) の要件を定義する国際規格です。この規格は、情報セキュリティ侵害の可能性を低減するために、リスクを管理および緩和するための管理策を特定、分析、および実装するためのベストプラクティスのフレームワークを提供します。規模や業種を問わず、どのような組織でもISO 27001の要求事項を活用し、効果的なISMSを実施することができ、独立した認証を受けることができます。

信頼できる独立した認証機関が提供するISO 27001認証は、情報セキュリティへのコミットメントを示し、ISMSの堅牢性と有効性に関する公平な見方を提供します。これは、契約上の義務を果たすのに役立ち、多くの場合、取引要件として機能します。

ISO 27001の審査は、他の附属書SLに基づくマネジメントシステムと同じアプローチで行われます。教育研修やギャップ分析から始めることもできますが、正式なプロセスでは、ISMSの設計の審査（ステージ1審査）および運用の審査（ステージ2審査）が行われます。これらの審査の結果については、LRQAの独立した有資格者が技術的な審査を行い、ベストプラクティスとの整合性とコミットメントを確認します。

承認されるとISO 27001認証書が発行され、次の3年間を再設定する3年周期の定期審査が開始されます。定期審査により、LRQAと組織の両方が変化に対応し、審査が現在の業界のニーズに適合していることを確認することができます。

認証は、定期審査を通じて効果的なシステムの維持が実証されることを条件に、3年間有効です。

一般的なISMSの適用範囲と認証登録証には、製品及びサービスの提供に関する活動が含まれます。内部活動やISMSプロセスを含める必要はありません。その目的は、製品やサービスを受ける際に提供される情報が保護されていることを保証することです。

適用性の記述は、選択された管理策のリストに言及しています。これらの管理策の詳細を提供するのではなく、前回のISO 27001審査の基礎として使用された管理策への追跡可能な参照を提供します。組織がISO 27001附属書Aから選択した管理策を単にリストアップした、共有可能な公開バージョンを持つこともありますが、これは必須の要件ではありません。

費用は、ISMSの範囲内の従業員数に関連する審査日数に基づいています。審査日数は、ISO 27006という規格に掲載されており、どなたでも閲覧可能です。LRQAのような認定された認証機関に依頼すれば、業界のベストプラクティスに基づき、他のすべての認定された認証機関と同等の審査期間が提案されます。

例えば、フルタイム従業員（FTE）100人の組織の場合、最初の審査期間（ステージ1審査＋ステージ2審査）は、業種、作業環境の複雑さ、ソフトウェア開発に携わっているか、製品にセキュリティを組み込む必要があるか等によって、8～12日間と予想されます。その後の定期審査は3〜4日/年、更新は6〜8日となります。

可能です。ISO 9001とISO 27001はともに、マネジメントシステムに関する一般的なベストプラクティスモデル（附属書SL）に基づいているため、中核となるマネジメントプロセスを最適化し、両規格の要求事項を満たすことが可能です。実際、両方に対応するシステムを設計することで、組織ガバナンスの有効性が向上します。例えば、事業の成長などのビジネス目標には、しばしば新製品の開発が必要ですが、セキュリティは通常、市場の期待に沿った品質基準と考えられています。また、統合することで重複を最小限に抑え、審査にかかる時間を短縮し、費用対効果の高いオプションを提供することができます。

ISO 27001の認証を取得するために必要なプロセスは、情報セキュリティと広範なリスク管理に関するビジネスの成熟度、およびその他の要因に依存します。しかし、ISO 27001の認証を取得するための一般的なプロセスには、次の3つの主要ステップがあります。

• ステージ1 審査 - 文書のレビューと計画:

  監査人は、マネジメントシステムの設計と文書化をレビューします（ほとんどの場合、これはリモートで実施されます）。

• ステージ2審査 - 実施状況の評価 :

  審査員は、ISO 27001の要求事項に沿って、ISMSの実施と有効性を評価します。不適合がなければ、認証を受けることができます。この段階は、リモートまたはオンサイトで実施されます。

• ISO 27001認証取得を推進する:
  国際的に認められたベストプラクティスと継続的な改善への取り組みを証明するもので、新しいビジネスの獲得と顧客要求への取り組みに貢献します。

ISO 27002:2022の発行は、ISO 27001に存在する管理策のリストを更新するもので、前回の発行日は2013年にまでさかのぼります。今回改訂された管理項目は、脅威と現在のベストプラクティスの両方に関する開発を反映しており、ISO 27002の適用範囲の拡大により、リスク管理対策が広範囲で効果的であることが保証されます。組織は、包括的な管理策のリストを使用して、特定したリスクに対処し、潜在的なギャップを発見することができます。これは、今日組織が直面している複雑で進化する脅威の状況に対して一歩進んだ状態を維持することにつながります。

ISO 27001の改訂版は、2022年10月に発行されました。この新しいISO 27001は、ISO 27002:2022で概説された新しい管理策を備え、組織はリスク評価を再検討し、新しいリスク処理を実施する必要があるかどうかを判断することが求められます。