ISO 27001
情報セキュリティ
マネジメント
システム
情報の安全性を
グローバル基準で
可視化
ISO 27001
サイバー攻撃や内部不正、
災害などのリスクに備え、
情報資産を守ることは、
企業の持続的な成長に不可欠です。
ISO 27001は、国際標準に基づく
セキュリティ体制を構築し、
顧客や取引先からの信頼を獲得するための強力な枠組みを提供します。
私たちの社会では、あらゆる業種・業界において情報が最も重要な資産の一つとなっています。顧客情報、技術資料、契約書、業務データなど、多くの情報資産が日々やり取りされる中で、情報漏えいや改ざん、業務の停止といったリスクへの備えが欠かせません。
こうした背景の中、情報を適切に管理し、ビジネスリスクを最小化する体制を整えることが、企業や組織の信頼性確保と持続的な成長に直結します。
そのための国際規格が、ISO 27001(情報セキュリティマネジメントシステム)です。
情報セキュリティの中心的な目的は、「情報を適切に保護すること」にあります。この規格では、以下の3つの観点から体制を構築・維持することが求められています。
- 機密性(Confidentiality):
許可されていない個人や団体、プロセスには情報を閲覧・使用させないという考え方です。情報漏えい防止のために最も重視される要素です。 - 完全性(Integrity):
情報の正確性・完全性を守り、改ざんや破損が起きないように管理することです。 - 可用性(Availability):
認可された利用者が、必要なときに情報へアクセス・使用できる状態を維持することです。業務継続において重要な要素となります。
この3つの頭文字を取って、「情報セキュリティのCIA」と呼ばれることがあります。
ISO 27001を導入・運用することで、情報リスクへの備えが可視化され、社内の意識改革や業務の効率化、そして顧客・取引先からの信頼獲得につながります。
情報セキュリティは単なる技術的な対応ではなく、組織全体で取り組むべき経営課題です。
特に、サプライチェーン全体でのセキュリティ要求が高まるなか、ISO 27001の認証取得は、取引先選定の重要な判断材料にもなっています。
責任ある情報管理体制を構築・維持することは、組織の信用力を高め、持続可能な成長への基盤となります。
国際標準に基づくISO 27001の導入を通じて、安全で信頼される組織づくりを進めていきましょう。
審査登録の手続き
と手順
STEP
審査見積り依頼
申請にあたりご提出いただく書類は、
- 会社案内/概要(従業員数は必ず分かる様ににして下さい)
- 組織図(それぞれの系統の分かるもの)
- 製品カタログ等(サービス・製品の分かるもの)
- 必要に応じて2種フロー図(特にFSMSでは必要です)
- 移行審査の場合は、前審査機関の認証書のコピー及び前回のレポート
- その他必要に応じて要求する場合があります。
- ①は添付の用紙にご記入ください。②の組織図は住所が識別できるようにしてください。これらの書類は審査費用の見積り、審査スケジュールの作成等の基礎情報になります。
STEP
審査登録委託契約
見積書の内容についてご確認いただき、合意された後、審査登録委託契約を締結させていただきます。
STEP
第1段階審査
準備状況を把握するため、第1段階審査を実施いたします。
第1段階審査は、文書審査を中心に実施しますが、実態を把握するための現地審査から成り、第2段階審査の1~2ヶ月前に行います。
審査計画
第1段階審査の1~2ヶ月前に、第1段階審査の審査スケジュール・審査チームメンバー等を含む現地審査計画を提案させていただきます。
審査チームメンバーは、審査に適した専門知識等を有する審査員又は技術専門家を選任いたしますが、特別に不都合がある場合には、メンバーの変更も可能ですが原則として審査機関側が厳正に選択します。
その後合意された審査チームにより審査を実施いたします。
文書審査
審査チームリーダーが具体的な審査計画についてご相談させていただく際に、マネジメントシステム文書またはそれに相当する文書の提出をお願いします。(必要に応じて、その他の資料の提出をお願いする場合があります。)
ご提出いただいた文書の内容を審査し、適用される規格等の要求事項について不適合が認められた場合は、審査前又は、第1段階現地審査で実態を確認後、第1段階審査の結果として必要があれば是正をしていただくことがあります。
なお、システム運用は文書提出時には開始されていること、及び第2段階審査までに3ヶ月以上の運用実態があることをベースに、以後の計画を進めさせていただきます。
現地審査
通常、第2段階審査の1/2~1/3の審査工数で行います。マネジメントシステムの実態及びその実行状況を現地で確認させていただきます。
第1段階現地審査の結果として不適合が観察された場合は、第2段階審査までに是正をしていただきます。
又、第1段階審査の結果によっては、第2段階審査の延期又は中止をお願いすることがあります。
STEP
第2段階審査
マネジメントシステムが受審対象組織の全体において適切に実行されていることを確認するため、現場のサービス・製品についての適合性の確認、特に審査の対象はマネジメントシステムが末端の従業員や協力業者にどの程度浸透しているかを審査します。
なお、第1段階審査における指摘事項への対応状況の確認を含め、最新のマネジメントシステム文書または、それに相当する文書についての文書審査も行います。
審査計画
第2段階審査の1~2ヶ月前に、第2段階審査の審査スケジュール・審査チームメンバー等を含む現地審査計画を提案させていただきます。
審査チームメンバーは、審査に適した専門知識等を有する審査員又は技術専門家を選任いたしますが、特別に不都合がある場合には、メンバーの変更も可能ですが原則として審査機関側が厳正に選択します。
その後合意された審査チームにより審査を実施いたします。
文書審査
第2段階審査の約1カ月前に、変更または新たに作成した最新のマネジメントシステム文書またはそれに相当する文書を提出していただきます。(必要に応じて、その他の資料の提出をお願いする場合があります。)
ご提出いただいた文書の内容を審査し、適用される規格等の要求事項について不適合が認められた場合は、その時点で文書の是正が必要となります。
なお、第2段階審査までに3ヶ月以上の運用実態があることが必要です。
現地審査
受審対象全部署に対してマネジメントシステムの実行状況を確認させていただきます。
受審事業所の規模によっても異なりますが、通常人数の審査員1~4名で1~4日程度要します。
審査の最終日に、主任審査員より適合性の状態や登録の推薦を報告します。又、是正処置の要求も同時に通知します。
STEP
フォローアップ審査
第2段階審査の結果、是正処置が必要な場合には、その対策を実施していただきます。
審査チームは内容によって、現地でのフォローアップ審査または写真や文書等により、その是正結果を確認いたします。
STEP
判定
審査チームの審査結果は、東京支社で審議し、UK本部へ送付し最終的に登録の可否を判定いたします。
その結果は、速やかに報告いたします。
STEP
登録及び認証書の交付
UK本部(英国:ユナイテッドキングダム)で登録が決定された後、「認証書」を発行いたします。
こ希望により日本語版の付属書・レプリカも発行いたします。
STEP
サーベイランス審査
登録後も、マネジメントシステムを維持管理することが求められております(ISO 17021)。
サーベイランス審査のサイクルは初回登録後6ヶ月目に1回目、その後は12ヶ月目に維持審査を実施いたします。
維持審査の結果、是正処置が必要な場合には、その対策を実施していただきます。
是正処置が適正でない場合には、登録の停止あるいは取消しを行うことがあります。(是正計画の提出期限は原則2ヶ月です)
STEP
登録の更新
登録3年後以内に再認証審査を実施いたします。(この際早めの審査を奨励しています)
お問い合わせ
ご依頼及び業務内容へのご質問などお気軽にお問い合わせください