ＩＳＭＳ構築手順

ISMSの構築手順は以下のようになります。

まずISMSの構築（フェーズ１）では、ISMSの適用範囲を定義し、ISMS基本方針を決定します。ISMSの適用範囲及び基本方針に基づき、リスクアセスメントを実施することになります。

リスクアセスメント（フェーズ２）は、ISMS構築の中では重要な位置を占めます。リスクアセスメントにおいてはいくつかの手法がありますので、体系的な取組方法を策定します。

保護すべき情報資産をベースに脅威・脆弱性などから組織のリスクを洗い出し、受容できないリスクに対してはリスク対応の選択肢を明確にし、分析評価による対応を決定します。これらに対して、実施すべき管理目的と管理策を選択し、対策基準を作成します。

ISMS構築の適用宣言（フェーズ３）では、リスクアセスメントの結果、管理策を講じるなどのリスクの低減化を図り、その上で残留リスクを受容するかどうかの経営陣の判断を仰ぎ、その承認の下にISMSを運用する許可を得ます。

ISMSの附属書Ａに述べられている管理策は１３３ありますが、これら全てが必ずしも必要でもありませんし、逆に、適切で良い管理策があればそれを採用することもあります。これらの管理策の選択結果を踏まえ、組織は適用宣言書で明確に公表します。

ISMS適用宣言書が公表されますと、ISMS文書体系にしたがって、ISMSが導入され、実行されることになります。この場合、まず、組織構成員全員に組織決定として周知徹底させ、実行させる必要があります。

その各組織の実施状況を内部監査としてチェックし、その後のマネジメントレビューを経て、組織として、ISMSの遂行を現実の業務の中に確実に埋め込ませていく不断の努力が必要になります。

この時点から、ほぼ平行して、ISMSの審査が文書審査・実施審査と始まっていきます。