ISO27001/コンサルタントをどのように選べばよいのかわからない

初めてISO27001の認証対策に取り組む方にとって、専門コンサルタントは、その水先案内人として非常に大きな役割を果たすことになります。
もし、コンサルタントの選択を誤ると、場合によっては余計な作業を強いられてしまい、その後の審査対策が迷走しかねません。
コンサルタントを選ぶ場合にまず重要な要素は、その支援実績です。
単純に支援実績の数だけでなく、自社と同じ業界、同じような規模の企業の支援実績があるか等を事前に確認しましょう。
また、情報セキュリティマネジメントシステム（ISMS）の構築・運用にどの程度まで係わってくれるのか、コンサルティングの幅と深さも確認しておくとよいでしょう。

ISO20071/どの審査機関を選べばよいのかわからない

2007年9月1日現在、国内には23社の審査機関が存在します。
審査を受けるためには、この中から契約する審査機関を選ぶ必要があります
とは言え、認証審査自体が初めての経験なのですから、どの審査機関が自社に合っているのか容易に分かるはずはありません。
通常は複数の審査機関と面談し、見積もりをとり選択することになりますが、審査機関にの生い立ちはそれぞれ違いますし、業暦、所属する審査員数、審査実績数も異なります。？
また、審査基準も実際はそれぞれ微妙に違いますから、相性のよい審査機関を選択するのは至難の業です。

ISO27001/プロジェクトチームの人選が難しい

情報セキュリティマネジメントシステム（ISMS）の構築は、通常、経営層に任命されたCISO（Chief Information Security Officer：情報セキュリティ管理責任役員）が中心となり、各部門から選抜された委員により構成される情報セキュリティ委員会が行います。
この情報セキュリティ員会には、事務局の設置、情報システム管理者や教育責任者の参加が不可欠です。
また、情報セキュリティ委員会から独立した監査グループ（監査責任者、監査人で構成される。）の設置も必要となります。？
しかし、ここで特に重要となるのが、CISOと情報システム管理者の人選です。
CISOには適用範囲内の組織を掌握する人望が求められ、また、権限も委譲されている必要があります。
一方、情報システム管理者は、ISO27001が情報セキュリティの規格であるために、ITに関するある程度の知識と実務経験、セキュリティに対する意識の高さ等の資質も求められます。

情報セキュリティ委員会
運営支援 パック

ISMSの適用範囲の設定が難しい

情報セキュリティ委員会の最初の仕事がISMSの適用範囲の検討です。
適用範囲とは、自社で構築したISMS、つまり情報セキュリティに関するルール等を適用する範囲のことです。事業的適用範囲、組織的（人的）適用範囲、物理的適用範囲、論理的（情報システム）適用範囲等、幾つかの切り口でルールを適用する範囲を限定します。
適用範囲を決定したら、次はその適用範囲内の情報資産をすべて洗い出すことになるため、万一構築途中でこの適用範囲に変更が出ると、情報資産の洗い出しからやり直すことになります。
時間や労力のムダとなる可能性があり、できるだけ避けたい失敗です。

ISO27001/情報資産の洗出しの基準設定が難しい

ISO27001の要求事項では、企業に適用範囲内の情報資産の特定を求めています。
つまり、情報資産を洗出して情報資産台帳に整理することが要求されているのです。？
しかし、一口に情報審査を洗出すと言っても、実際に作業を始めようとするとプロジェクトメンバーは様々な障害にぶつかります。？
代表的なものに、洗出しの単位が統一できていないために、各部門の洗出した情報資産の粒が揃わないというのがあります。

更に、同じ情報資産の呼び方が部門によって異なるなどの問題も発生します。情報資産を洗出す前に、まず、社内の情報資産を明確に区分し、必要があれば定義し、呼称を統一する必要があるのです。

情報資産洗出し支援パック

ISO27001/社内のコンセンサスが上手く図れない（経営層の不参加・教育への不参加・監査への不参加）

情報セキュリティ委員会がルールを策定しても、社内がそのルールに従わない。こんなことが実際にはよくあります。
運用されないISMSほど無駄なものはありません。このような事態にならないよう、経営陣は自ら進んで社内に大号令を発し、「情報セキュリティ基本方針」を策定して情報セキュリティレベル向上に向けて従業者を牽引していく必要があります。ISO27001の要求事項では、情報セキュリティに関する教育・訓練の実施と、従業者の意識向上及び力量の維持を経営陣に要求しています。
したがって、経営陣は、まず教育・訓練を計画し、確実に実施し、教育・訓練の効果を測定し、教育・訓練の内容のスパイラルアップにも努める義務があります。

教育支援パック

ISMS構築スケジュールの設計が難しい

情報セキュリティ委員会の中で事務局の果たす役割は大変重要です。？
部門ごとに実施される情報資産の洗出しやリスクアセスメント結果の取りまとめ、策定・発行された社内ルールの伝達と徹底、要求事項への対応状況のチェック等、ISMSの構築が一通り終了するまで、事務局は休む暇もありません。？
もし事務局が上手く機能しないと、たちまちISMSの構築はストップしてしまいます。したがって、事務局を統率する事務局長には高いプロジェクト・マネジメント力が求められるのです。優秀なプロジェクト・マネージャーは、プロジェクトの進捗を管理するためのツールを上手に使います。

ISO27001/内部監査のやり方が分からない

情報セキュリティ委員会の中で事務局の果たす役割は大変重要です。？
部門ごとに実施される情報資産の洗出しやリスクアセスメント結果の取りまとめ、策定・発行された社内ルールの伝達と徹底、要求事項への対応状況のチェック等、ISMSの構築が一通り終了するまで、事務局は休む暇もありません。？
もし事務局が上手く機能しないと、たちまちISMSの構築はストップしてしまいます。？
したがって、事務局を統率する事務局長には高いプロジェクト・マネジメント力が求められるのです。優秀なプロジェクト・マネージャーは、プロジェクトの進捗を管理するためのツールを上手に使います。