プライバシーマーク・ＩＳＯ２７００１取得支援・コンサルティング 　東京都練馬区

小規模企業、中小企業・事業者の皆様に、プライバシーマーク、旧ＪＩＳから新ＪＩＳQ１５００１への移行、個人情報保護法、ＩＳＯ２７００１、ＩＳＭＳなどの認証・認定取得支援・指導、維持更新支援・指導、コンサルティングを行います。お気軽にご相談下さい。

ISO27001:2005で使用する主な単語は、次の通りです。

◆機密性（Confidentiality）

　アクセスを許可された人だけが情報にアクセスできること

◆完全性（Integrity）

 情報や処理が正確であること。欠落がないこと

◆可用性（Availability）

  アクセスを許可された人だけが、必要な時にアクセスできること

以上機密性、完全性、可用性をまとめて　ＣＩＡと呼ばれることが多い。

◆情報セキュリティ

　情報の機密性、完全性、可用性を維持すること。他に、真正性、責任追跡性、否認防止性、信頼性などを含めても良い。

◆リスクアセスメント

　リスク分析からリスク評価までの全てのプロセスを言う。

◆残留リスク

　リスク対応をした後でもまだ残っているリスク。

◆適用宣言書

　その組織のＩＳＭＳに関連して、適用する管理目的及び管理策を記述した文書。

ISO27001構築のポイントは次の通りです。

◆ 運営体制の明確化

　　情報セキュリティ責任者や監査責任者などの役割・責任・権限を明確にします。特に、現場の意見を取り入れる運営体制をとることが必要です。現場の協力なくして成功はあり得ません。

◆リスク分析と高いリスク値へのリスクの低減

　　情報資産に対する脅威、脆弱性、影響度などを考慮してリスク分析を行い、その中でリスク値の高い情報資産から管理策を策定し、リスク低減などを行うことです。　その過程で本当に必要な設備・ソフトウェアの購入などを検討すべきです。

◆全員教育

　　全従業員からの協力を得るためにも、適切な時期に、教育を行う必要があります。また、教育も、全員が参加できるように何回かに分けたり、テキストを充実したりすることが大切です。 

◆内部監査

　　ISO27001の要求事項通り現場で実施されているかを確認する上でも、計画的に内部監査を行う必要があります。特に、有効性評価は今後ますます重要になるでしょう。

 ◆少しずつ良いシステムを

　　いきなり１００点満点の情報セキュリティマネジメントシステムを構築しようとしないで、毎年毎年ＰＤＣＡを繰り返す中で、自社に最も適するするより良いシステムを構築することです。

ＩＳＯ２７００１認証のメリットには、次のものがあります。

◆社会的信用度の増大

　　国際標準であるISO27001は国際的にも認められ、社会的信用度は増大します。

◆顧客や取引先からの信頼の確保

　　第三者機関がISO27001を認証するため、顧客や取引先からの信頼を得ることができます。

◆他社との差別化

　　漏えい事件・事故が多発化する中で、他社との差別化を図れます。

◆リスクの低減化　

　企業情報の脅威、脆弱性、影響度などからリスクを洗い出すことのより、リスクの低減を図ることができます。

◆従業員の意識向上

　　日常的な点検、教育等を通じ、従業員の情報セキュリティに対する意識が向上します。

◆事故に対する適切な対応

　　もし、仮に事件・事故が発生したとしても、最も少なく影響度に抑えることができ、また、二次被害も抑えることができます。

◆業務効率の向上

　　適切なマネジメントシステムの構築・運営により、業務プロセスを明確にし、業務の効率性が高まります。

どのようにリスクアセスメントを行い、文書を作成し、記録を残し、継続的に改善するか・・・など、ISO27001(ISMS)取得に必要なサービスを提供いたします。

独自開発したテンプレートにより、短期間に、かつ、効率的にプロジェクトを進めることが可能です。

価格　１８２万円（税込み１９１．１万円）
（注）従業員数：１００名以下、拠点数：１拠点を想定しています。

①訪問回数は20回。ISO27001(ISMS)取得に必要な内容を20回の訪問で指導いたします。

②完全サポートにより、是正対応まで支援します。

③お客様とコンサルタントの役割・作業内容を明確にし、取得後も自主的にマネジメントシステムを運用できるよう支援します。

④お客様の内部状況に見合うマネジメントシステム構築を支援します。

⑤他社よりも安い料金でサポートします。ご連絡ください。

訪問回 ＩＳＯ２７００１（ＩＳＭＳ）取得支援内容
(1) １～２回目 業務内容確認、適用範囲定義、体制整備
(2) ３～７回目 業務フロー、情報資産洗い出し、リスク分析／対応計画書作成
(3) ８～１４回目 規定類、適用宣言書、事業継続計画書作成
(4) １５～１６回目 規定類・様式・記録チェック、教育
(5) １７～１８回目 監査／改善、マネジメントレビュー
(6) １９～２０回目 一次審査結果対応、二次審査事前チェック、二次審査結果対応

（１）フェーズ
・業務内容確認
・適用範囲定義
・体制整備 業務内容、組織体制、情報資産、ステークホルダー等からISO27001の適用範囲を決定します。
さらに、経営者により、情報セキュリティ責任者、監査責任者、情報セキュリティ事務局等を決定します。

（２）フェーズ
・業務フロー
・情報資産洗い出し
・リスク分析/対応計画作成 適用範囲定義に基づく業務範囲内で、業務フローを作成します。
一つ一つのイベントの過程で発生する情報資産を洗い出します。
洗い出された情報資産の機密性、完全性、可用性、事故発生時の影響度や発生頻度などにより、リスク値を算出します。
さらに、そのリスク値を低減させるための管理策を策定します。

（３）フェーズ
・規定類
・適用宣言書
・事業継続計画書作成 弊社の文書テンプレートを基に企業様の最適な規定類を作成します。
また、ISO27001の133個の管理策（附属書A）をもとに適用宣言書を作成します。
さらに、危機管理対応として事業継続計画書を作成します。

（４）フェーズ
・規定類・様式・記録チェック
・教育 JIS27001運用開始を前に、各規定類や記録用紙の再確認を行います。
また、関係する従業員に対し、基本方針、行動基準などの教育を実施し、順守すべき事項の周知徹底を図ります。

（５）フェーズ
・監査／改善
・マネジメントレビュー 実際の業務中の運用において、日常監視を実施し、情報セキュリティマネジメントシステム（ISMS）の改善を行います。
一定期間の運用を経て、各規定類等が有効に機能しているか、内部監査を実施します。
さらに、代表者による見直しを行い、ＩＳＭＳ全体の底上げを図ります。

（６）フェーズ
・一次審査結果対応
・二次審査事前チェック
・二次審査結果対応 審査機関選定後、申請書を提出します。
一次審査後不適合事項、観察事項に対し、対応策を講じます。
二次審査前に、様式・記録の確認、現地での確認を行い、二次審査に備えます。
二次審査実施後、一次審査同様対応策を講じます。