情報セキュリティ侵害に伴い、セキュリティチームは、有害な侵害に苦しむリスクを軽減するための専用の措置を講じることを余儀なくされています。 ISO27001は、このようなリスクを低減する効果的な方法を提示しています。
このブログでは、ISO27001認証を取得する方法を説明し、認証プロセスを見てみましょう。
準備する
ISO27001の理解を得る
標準を読むことは、ISO27001とその要件の優れた背景を提供します。 ISO27001について自分自身をアップスキルするには、いくつかの方法があります:
- 標準に関する無料のホワイトペーパーを読む
- ISO27001に関するITガバナンスの無料情報と開始方法を読む
- 標準のコピーを購入する(無料ではありません)
- iso27001Foundation training course入門オンラインに参加することをお勧めします
iso27001チャンピオンを任命
Iso27001に関する洞察を得ることは、認証プロセスに慣れるのに便利な方法ですが、プロセスを完了するためには真の専門家が必
これは、組織内の誰かまたはプロセスを管理する第三者である可能性があります。 いずれにしても、ISMS(情報セキュリティ管理システム)の実装経験があり、組織内でその要件を実装する方法を理解している必要があります。
社内の専門知識がない場合は、ISO27001オンラインリード実装者トレーニングコースに登録することをお勧めします。
安全な上級管理職サポート
組織のリーダーシップのバイインとサポートなしでは、プロジェクトを成功させることはできません。
ギャップ分析は、ISO/IEC27001:2013の要件に対する既存のすべての情報セキュリティ取り決めの包括的なレビューを含むものであり、良い出発点を示しています。
徹底したギャップ分析は、理想的には、推奨されるアクションの優先順位付けされた計画とISMのスコープ設定のための追加のガイダンスを含める必
ギャップ分析の結果は、ISO27001実装のための強力なビジネスケースを開発するために提供することができます。
文脈、範囲、目標を確立する
プロジェクトコストや時間枠を含め、プロジェクトとISMSの目標を最初から特定することが不可欠です。 コンサルタントからの外部サポートを使用するか、必要な社内の専門知識を持っているかどうかを検討する必要があります。
プロジェクトの重要な段階では、専用のオンラインメンターの支援に依存しながら、プロジェクト全体の制御を維持することができます。
オンラインメンターを使用すると、プロジェクトの期間中にフルタイムのコンサルタントを使用することに関連する費用を節約しながら、プロジェ
また、組織全体または特定の部門または地理的な場所にのみ拡張することができるISMSの範囲を開発する必要があります。
スコープを定義するときは、組織のコンテキストと利害関係者(利害関係者、従業員、政府、規制当局など)のニーズと要件を考慮する必要があります。).
‘Context’は、組織の情報セキュリティに影響を与える可能性のある内部および外部要因を考慮します。 これには、組織文化、リスク受け入れ基準、既存のシステム、プロセスなどの側面が含まれます。
(ツール、トレーニング、ソフトウェアに加えて、五日間の構造化されたコンサルティングを含むオールインクルーシブなDo it Yourselfパッケージを検討してください)。
管理フレームワークの確立
管理フレームワークは、ISO27001の実装目標を達成するために組織が従う必要があるプロセスを記述します。
これらのプロセスには、ISMSの説明責任の表明、活動のスケジュール、継続的な改善のサイクルを支援するための定期的な監査が含まれます。
リスク評価の実施
ISO27001は特定のリスク評価方法を規定していませんが、リスク評価は正式なプロセスである必要があります。
これは、プロセスを計画し、データ、分析、および結果を記録する必要があることを意味します。
リスク評価を実施する前に、ベースラインのセキュリティ基準を確立する必要があります。 これは、組織のビジネス要件、法的要件、規制要件、および情報セキュリティに関連する契約上の義務を指します。
最も簡単で効果的なリスク評価ソフトウェアであるvsRisk Cloudは、ISO27001準拠のリスク評価を実施するためのフレームワークとリソースを提供します。
リスクを軽減するためのコントロールの実装
関連するリスクが特定されたら、組織はリスクを治療、許容、終了、または移転するかどうかを決定する必
監査人は登録(認証)監査中にそれらをレビューしたいので、リスク対応に関するすべての決定を文書化することが重要です。
SoA(Statement of Applicability)とRTP(risk treatment plan)は、リスク評価の証拠として作成されなければならない二つの必須報告書である。
研修の実施
この基準では、組織全体の情報セキュリティに関する意識を高めるために、スタッフの意識向上プログラムを開始する必要があります。
また、従業員が良い習慣に向かって指示するポリシーを実装する必要があります。 これには、クリーンデスクポリシーと、ワークステーションを離れるたびにコンピュータをロックする要件が含まれる可能性があります。
全社的なスタッフ意識eラーニングコースは、基準の背後にある哲学とコンプライアンスを確保するために従業員が何をすべきかを横断する最も簡
必要なドキュメントの確認と更新
必要なISMSプロセス、ポリシー、および手順をサポートするには、ドキュメントが必要です。
しかし、ポリシーと手順をコンパイルすることは、多くの場合、かなり退屈で挑戦的な作業です。 幸いなことに、ISO27001の専門家によって開発されたドキュメントテンプレートは、ほとんどの作業を行うために利用できます。
書式設定され、完全にカスタマイズ可能なこれらのテンプレートには、ISO27001のすべての文書要件を満たすための専門家のガイダンスが含まれています。
最低でも、この規格には以下の文書が必要です:
- ISMSの範囲
- 情報セキュリティポリシー
- 情報セキュリティリスク評価プロセス
- 情報セキュリティリスク処理プロセス
- 適用性声明
- 情報セキ3700>ismsの有効性に必要であると組織が判断した文書化された情報
- 運用計画と管理
- 情報セキュリティリスク評価の結果
- 情報セキュリティリスク 治療
- 結果の監視と測定の証拠
- 文書化された内部監査プロセス
- 監査プログラムと監査結果の証拠
- マネジメントレビューの結果の証拠
- 不適合の性質とその後の措置の証拠
- 是正措置の結果の証拠
測定、監視、およびレビュー
iso27001は、継続的な改善のプロセスをサポートしています。 これには、既存のプロセスとコントロールの改善を特定することに加えて、ISMのパフォーマンスを継続的に分析し、有効性とコンプライアンスについて
内部監査の実施
ISO/IEC27001:2013では、計画された間隔でISMSの内部監査が必要です。 リード監査プロセスに関する実践的な知識は、ISO27001準拠の実装と維持を担当するマネージャーにとっても重要です。
オンライン認定ISO27001リード監査人コースは、ISO27001:2013に従って効果的な情報セキュリティ監査を計画し、実行する方法を教えています。
また、監査人のチームを率いて外部監査を実施することも教えてくれます。 まだレジストラを選択していない場合は、この目的のために適切な組織を選択する必要がある場合があります。
登録監査(世界的に認められた認定登録を達成するため)は、お客様の国の関連する認定機関によって認定された独立したレジストラによってのみ
登録/認証監査
ステージワン監査の間、監査人はあなたの文書がISO27001の要件を満たしているかどうかを評価します。 彼らはまた、不適合と管理システムの潜在的な改善の任意の領域を指摘します。
必要な変更が行われると、あなたの組織はステージ2登録監査の準備が整います。
認証監査
第二段階の監査の間、監査人はISO27001規格に準拠しているかどうかを確認するために徹底的な評価を行います。
認定されるまでにどれくらいの時間がかかりますか?
ISO27001の実装プロセスは、管理システムの規模と複雑さに依存しますが、ほとんどの場合、中小規模の組織は6-12ヶ月以内にプロセスを完了することを期
IT Governance USAによる認証サポート
ISO27001プロジェクトを開始する準備はできていますか? もしそうなら、私たちの実装バンドルの範囲は完璧な出発点です。
ツール、ソフトウェア、ガイド、資格ベースのトレーニングを組み合わせ、最大40時間のオンラインコンサルティングを行うことで、組織の要件を満たすため
ISMSを実装するために必要な時間と労力を削減するだけでなく、従来のコンサルタント業務、旅行、その他の費用のコストを排除するのに役立ちます。
このブログのバージョンは2019年3月13日に公開されました。