プライバシーマーク取得支援コンサルティング(Pマークコンサルタント) ISO27001認証取得コンサルティング 情報セキュリティ関連コンサルティング リンク ポリシー サイトマップ
ホーム企業情報採用情報よくある質問Pマーク、ISMS実績無料相談・お見積り
無料お見積り
お客様の声

ISO27017認証取得までの流れ

Pマーク取得支援
コンサルティング
ISMS取得支援
コンサルティング
情報セキュリティ関連
コンサルティング
お問い合わせ Pマーク専用管理ツール Pマーク、ISMSの教育をeラーニングで 簡単ログ管理ソフト リスクアセスメントソフト
Pマーク取得のメリット プライバシーマーク制度とは ISMSとPマークの違い 取得判断 ISO27001(ISMS)取得支援 ISO27017認証取得支援 Pマークお悩み相談 JIS Q 15001:2006 JIS Q 15001:2017 (新JIS 改訂) Pマーク、ISMS実績 Pマーク関連用語集 マイナンバー制度 Pマークよくある質問 ISMS(ISO27001)よくある質問 Pマーク豆知識 Pマークコンサル会社の選び方 Pマーク、ISMS各県取得状況 ご相談・お問い合わせ コラム topix 会社概要 HOME  良く検索されるキーワード
お問い合わせ

 Pマークコンサルタント:HOMEISO27017認証取得支援 > ISO27017認証取得フロー

ISO27017認証取得フロー

ステップ1ISO27001制定の経緯

 組織は対象とする「クラウドサービス」を決定すると、それを適用範囲として、まずはISO27017を認証取得するにあたり中心となって活動するプロジェクトチーム(事務局)を発足します。プロジェクトチームの結成の目的は、クラウドサービスにおける効果的なISMSを構築し、効率よくISO27017を認証するためです。ゆえに、プロジェクトチームは「適用範囲」の社員から人選する必要があり、可能であれば各サービスごとに代表者を選出します。プロジェクトチームの人選が終わると、全体を統括する「プロジェクトリーダー」(クラウドサービスISMS管理責任者)を決定します。

次へ

ステップ2インフォメーションフローチェック・キックオフ

 まずコンサルティングに入る前に貴社の現状のISMSの状況(認証の有無にかかわらず。iso27017はアドオン認証です。)、クラウドサービスの内容及びセキュリティ状況をチェックします。この結果を基に、当社コンサルタントがISO27017までの認証活動スケジュールを組み立てます。次に、社員のISMSに関する意識を高めるために社内報、全体会議、朝礼でもかまいませんので、キックオフ宣言を実施します。

次へ

ステップ3初回・基本構想・方針策定

 既存のISMSが確認できると、プロジェクトチームやトップマネジメントのヒアリングを行い、「どのようなルール」を構築し「どのようなコンサルティング」を望むかを決定してもらいます。次に「ISO 27017」についての簡単な説明、取り組み方法を指導し、組織体系等、基本構想を策定していきます。それをもとに「事業の特徴」、「組織」、「所在地」、「技術」の観点から情報セキュリティ基本方針(クラウドサービス)を策定します。

次へ

ステップ4情報資産のリストアップ

 方針が固まるとプロジェクトリームを中心に、貴社における全ての「情報資産」を洗い出します。洗い出された「情報資産」をもとに「情報資産管理台帳」を作成し、詳細項目を記載していきます。

次へ

ステップ5リスク識別

 情報資産をリストアップしたら、適用範囲の中の情報資産およびそれらの所有者、情報資産に対する脅威、脆弱性、情報資産に与える影響を考慮し、リスクを識別します。リスクを識別することは、リスク評価をする場合、保有する情報資産にどのような脅威が起こりえて、それに対し、どのような脆弱性が考えられるのか、会社がどのような影響を受ける可能性があるのかを明確にするのに役立ちます。この作業を確実に行うことによって、リスクアセスメントを適切に効率的に行うことができるようになります。

次へ

ステップ6リスクアセスメント(分析〜評価)

 情報資産価値、脅威、脆弱性からリスク値を算出します。5段階評価など、誰が見ても分かるように、リスクレベルを定数化することをお勧めします。また、脅威が発生した場合、組織に与える悪影響の度合いで評価する場合もあります。企業が保護すべき情報資産について、情報の機密性、完全性、可用性をバランスよく維持し、改善していくことが重要なポイントとなります。

次へ

ステップ7リスク対応・管理策の決定

 これまでの活動で、対策が必要と考えられるリスクが多数浮き彫りになってきます。それに対応する為、それらの情報資産に対して、軽減、受容、回避、移転などの対応を決定します。次に低減を選択したリスクについて、組織にとって有効的な管理策を付属書Aより選択します。管理策は、選択した内容、選択しなかった理由を適用宣言書にまとめます。

次へ

ステップ8実施計画

 具体的な課題が見えてきたら、事業継続上、優先順位の高いリスクから対策を実地していきます。対策内容は、可能な限り具体的にし、リスク対応計画を作成していきます。計画の進捗・対応・結果などを管理し、確実に社内で導入していくことが重要です。

次へ

ステップ9ISMSマニュアル・手順書作成

 ISO27001規格要求事項(ISO27017含む)に適合したISMSマニュアル・手順書などを当社がオーダーメイドで作成します。文書を作成する際には、必要最低限の文書量に抑えることが、成功の最大のポイントです。また同時に、各種記録のフォーム作成支援も行います。

次へ

ステップ10運用・教育

 これより、実地展開がスタートします。(実地前に2週間ほどの準備期間を設けます。)導入したISMSについて「安全対策上問題は無いか」「無理無く運用できているか」などをチェックしていきます。また同時並行して社員教育を実施し、情報セキュリティーに対する社員の意識向上を図ります。

次へ

ステップ11内部監査員養成セミナー

 構築したISMSは全社員の間で守られているのか?期待された効果をもたらしているのか?継続的改善がなされているのか?などのチェックをするために、貴社社員から監査員を選出する必要があります。内部監査員の選出は、各部署から最低1人以上が望ましく、監査員は認証取得後に定期的な監査を行う義務があります。選出された社員は「内部監査員養成講座」を受講し、内部監査の力量を養います。 

 内部監査員養成セミナーにおいては、監査要領や監査のノウハウなどを指導し、内部監査員を養成し、その後実際の内部監査に当社コンサルタントが立ち会います。(組織に内部監査員は最低2人必要で、管理責任者との兼任は不可)

次へ

ステップ12審査機関による審査(1次2次)

 審査登録機関によって審査が行われます。ご要望があれば当社コンサルが審査時に立会いも可能です。

次へ

ステップ13是正処置

 本審査の結果、審査登録機関から「不適合」が貴社に対して報告される場合があります。その場合、当社コンサルが完璧な是正を行います。不適合事項に対しての是正が完了すれば、後はISO27017認証登録待ちとなります。

無料相談受付中
福岡、東京、大阪支店
東京本社
〒102-0072
東京都千代田区飯田橋4-4-8
東京中央ビル 5F
TEL 03-3263-4521
FAX 03-3263-4522


大阪オフィス
〒540-0012
大阪府大阪市中央区谷町3-4-5
中央谷町ビル 7F
TEL 06-6949-0550
FAX 06-6949-0551



福岡オフィス
〒812-0023
福岡県福岡市博多区奈良屋町14-20
ベスト大博ビル7F
TEL 092-403-5900
FAX 092-403-5901




スリープロサポート株式会社
サテライトコンサルタント 
北海道、仙台、神奈川、千葉、名古屋、京都、徳島、兵庫、広島、山口、熊本、佐賀、宮崎、長崎