「準備を始めて、認証まで何ヶ月かかるか?」——これが分からないと計画が立てられない。
取引先からISMS認証を求められた。入札条件に入っていた。自社のリスク管理として取り組みたい——きっかけは何であれ、次に気になるのは「いつまでに取れるか」だ。
結論から言うと、準備開始から初回認証まで最短で6ヶ月、現実的には9〜12ヶ月が目安だ。今回は、その理由とフェーズごとの進め方を整理する。
→ ISO27001とは何か?仕組み重視の情報セキュリティ入門【中小組織向け】
目次
1. 全体スケジュールの目安:4つのフェーズ
ISO27001の取得プロセスは大きく4つのフェーズに分けられる。
フェーズ1:準備・体制構築(1〜2ヶ月):適用範囲の決定・推進体制の整備
フェーズ2:文書整備・リスク対応(2〜4ヶ月):規程作成・リスクアセスメント・管理策の実装
フェーズ3:運用・内部監査(2〜3ヶ月):実際の運用記録・内部監査・経営者レビュー
フェーズ4:外部審査・認証取得(1〜2ヶ月):一次審査・二次審査・認証
合計すると最短6ヶ月、通常9〜12ヶ月だ。審査機関の予約状況によっては、審査日程が2〜3ヶ月先になることもあるので、「認証が必要な期限」から逆算して準備を始めることが重要だ。
2. フェーズ1:準備・体制構築(1〜2ヶ月)
最初にやることは「適用範囲」を決めることだ。全社を対象にするか、特定の部門・事業に絞るかによって、その後の作業量が大きく変わる。
推進体制も同時に整える。情報セキュリティ委員会の設置・推進担当者の任命・経営者のコミットメント確認——ここで経営者を巻き込めるかどうかが、後のフェーズのスピードに直結する。
体制が決まったら現状調査を行う。今どんな情報資産があり、どんなリスクがあるかを把握する。情報資産台帳の作成がここから始まる。
3. フェーズ2:文書整備・リスク対応(2〜4ヶ月)
このフェーズが最も時間がかかりやすい。作成が必要な文書は多岐にわたる。
情報セキュリティポリシー・リスクアセスメント・管理策の実施状況・各種手順書——文書の量が多く、担当者の工数を最も消費するのがここだ。
AIを使った文書ドラフトの自動生成が最も効果を発揮するのもこのフェーズだ。叩き台をAIに作らせ、担当者が実態に合わせて修正するというアプローチで、大幅な時間短縮が可能になっている。
4. フェーズ3:運用・内部監査(2〜3ヶ月)
外部審査を受ける前に、実際の運用実績を積む期間が必要だ。「規程を作ったが運用していない」状態では審査を通過できない。
最低でも1〜3ヶ月の運用記録が必要で、その後に内部監査・経営者レビューを実施する。このフェーズを省略しようとすると必ず審査で指摘を受ける。スケジュールを短縮したい場合でも、ここだけは削れない。
5. フェーズ4:外部審査・認証取得(1〜2ヶ月)
外部審査は「一次審査(文書審査)」と「二次審査(実施審査)」の2段階だ。一次審査で文書の妥当性を確認し、二次審査で実際の運用状況を確認する。
二次審査で不適合が出た場合、是正処置の確認まで含めると認証取得までさらに1〜2ヶ月かかることがある。初回審査で一発通過するためには、フェーズ3の内部監査を丁寧にやっておくことが近道だ。
6. スケジュールが伸びる3つの原因
現場で見てきた中で、スケジュールが伸びる原因は大体3つに集約される。
① 担当者の工数が確保できない:本業との兼任で、ISMS関連の作業が後回しになる。これが最も多い原因だ。
② 経営者の関与が薄い:ISO27001はトップダウンで推進する必要がある規格だ。経営者レビューが形式的になったり、予算・人員の確保で承認が遅れたりする。
③ 適用範囲が途中で広がる:「せっかくなら全社で」という判断が途中で入り、作業量が増えてスケジュールが崩れる。
「期限ありき」で動くときの現実的な対処法
「〇月までに認証が必要」という期限がある場合は、逆算して動くしかない。
期限まで6ヶ月を切っている場合は、適用範囲を最小限に絞り、外部コンサルの支援を入れてスピードを上げるのが現実的な選択肢だ。全社展開は認証後の拡張審査で対応することもできる。
余裕がある場合は焦らずフェーズを丁寧に踏む方が、取得後の運用が安定する。「急いで取った認証」は更新審査で苦労することが多い——これも現場で繰り返し見てきた現実だ。
関連記事
・ISO27001とは何か?仕組み重視の情報セキュリティ入門【中小組織向け】
取得前に押さえておきたいISO27001の基本的な考え方と仕組み。
・ISO27001の取得費用はいくらかかるか——コンサル費・審査費・維持費の現実
スケジュールと合わせて確認したい、取得にかかる費用の全体像。
0 件のコメント:
新しいコメントは書き込めません。