ISMS認証取得の流れを現役情シスが解説【準備〜審査まで全ステップ】
この記事でわかること
  • ISMS認証取得の全体像(STEP1〜審査まで)
  • 最もボリュームの多いSTEP1の具体的な進め方
  • 審査で落ちないための注意ポイント

前回の記事ではISMSとは何か・取得するメリットを解説した。今回は実際にISMS認証を取得するまでの具体的な流れを、現役情シスの立場からステップごとにまとめる。

📄 ISMSの概要・取得メリットについてはこちらの記事を先に読んでほしい。(※公開後リンクを更新)

▼認証取得〜運用の全体像

STEP 1
準備・整備
(6ヶ月〜1年)
STEP 2
初回審査
取得
STEP 3
維持審査
(年1回)
STEP 4
更新審査
(3年ごと)

平均的にはSTEP1〜STEP2(準備から初回取得まで)の期間は6ヶ月〜1年とされている。

💡 ISMS審査は「落とすための審査ではなく、指摘して是正を促す審査」だ。文書体系が整っていて、PDCAが回っていて、運用実態と文書が一致していれば基本的には通過できる。
⚠️ ただし以下のような状態だと初回審査で「保留」または「不認証」になるケースがあるので要注意。
  • ISMSが全く運用されていない(書類だけで実態がない)
  • リスクアセスメントが形骸化している(更新されていない・現実的でない)
  • 内部監査や是正措置が形式だけ(実効性ゼロ)
  • 従業員が方針を全く知らない・教育されていない

▼STEP1の詳細な流れ

全ステップの中で最もやることが多く、期間も長いのがSTEP1だ。STEP1はさらに5つのフェーズに分かれる。

STEP 1-1

計画・体制の整備

① 年間計画の作成

ISMSの活動を年間スケジュールで管理する。以下のようなイメージだ。

対応月対応内容
4月リスクアセスメント
5月リスク対応
6月内部監査
7月〜是正・マネジメントレビュー

② 審査機関の決定

国内に約30ある審査機関から1つを選ぶ。知名度・認証費用・対応の柔軟性などを総合的に比較して判断する。

③ 役割の決定

ISMS運用のための推進体制を決める。

役割担当者
ISMS責任者(例)情報システム部長
ISMS担当者(例)情シス担当者
内部監査員(例)他部門の担当者
STEP 1-2

方針・目標の策定

① 組織の状況の特定

組織の課題や利害関係者の声をもとに、ISMSの適用範囲を決定する。「どの部門・業務・システムをISMSの対象とするか」を具体的に定める。

② 情報セキュリティ方針の作成

自社の情報セキュリティに対する考え方・姿勢を記した方針を策定し、Webページなどで公表する。多くの上場企業・大企業がWebサイトで公開している。

③ 情報セキュリティ目標の作成

部門ごとに具体的な目標を設定する。

部門目標内容
営業部メール誤送信 0件
開発部システム稼働率 99.9%以上
STEP 1-3

資産洗い出し・リスクアセスメント

① 情報資産の洗い出し

ISMSの適用範囲における情報資産を全て洗い出す。

種類資産内容の例
書類・書類データ契約書、請求書、提案書類
マスタデータ人事データ、労務データ、会計データ
各種サービスGoogle Workspace、Microsoft 365
物理機器PC、スマートフォン、ネットワーク機器

② リスクアセスメント

洗い出した情報資産ごとに、情報セキュリティリスクを特定する。

資産リスク内容
人事・会計データ不正ログインによる漏洩リスク
PC・スマートフォン紛失・盗難によるリスク

③ リスク対応

特定したリスクをもとに対策を決定・実施する。必要に応じて規程の作成も行う。

  • システム管理規程・情報セキュリティ基本規程の作成
  • システム別のアクセス権管理の整備
  • 入退室管理の実施
STEP 1-4

教育・監視・内部監査

① 教育の実施

ISMSの適用範囲の全員に必要な教育を実施する。Eラーニングや集合研修が一般的で、教育後にテストを実施して理解度を確認する。

② 監視・測定

ISMSやセキュリティ対策の状況を定期的にモニタリングし記録する。

実施月状況
4月インシデント0件、稼働率100%
5月インシデント1件、稼働率100%

③ 内部監査

規程やリスク対応が社内で遵守されているかを確認する。内部監査員は被監査部門と異なる人が担当するのが原則だ。

STEP 1-5

是正・マネジメントレビュー

① 是正

内部監査で発見された問題点に対して、原因分析と再発防止策を講じる。

💡 「是正が1件もない」とすると内部監査が機能していないと見られる。最低でも1〜2件は是正事項を挙げることが実質的に求められる。

② マネジメントレビュー

ISMSの活動結果をトップマネジメント(社長・管轄取締役)に報告し、承認を得る。PDCAの「A(改善)」にあたる重要なプロセスだ。

▼まとめ

ISMS取得は「書類を作れば終わり」ではなく、計画・実施・監視・改善のPDCAを継続的に回す仕組みを作ることが本質だ。特にSTEP1は6ヶ月〜1年かかるボリュームがあるため、早めに体制を整えて進めることが重要になる。

「何から手をつければいいかわからない」「社内にISMS担当者がいない」という企業でも、外部のサポートを活用しながら取得を進めることは十分可能だ。

📩 ISMS取得サポートのご相談はこちら

年間計画の策定・リスクアセスメント・規程整備・審査対応まで一気通貫でサポートします。「まず何が必要か知りたい」という段階からお気軽にどうぞ。

無料相談・お問い合わせはこちら →