▼ 目次
1. はじめに
1.1. 記事の目的と対象読者
本記事では、**ISMS(ISO/IEC 27001)**の導入や運用を成功させるための「年間計画」について、初心者向けに分かりやすく解説します。
こんな人におすすめ:
これからISMS認証取得に取り組みたい中小企業の担当者
年間スケジュールをどのように作ればいいか悩んでいる運用責任者
形だけのISMSではなく、リスクを本当に下げる運用をしたい方
このブログを読むと…
ISMSにおける1年間の主なタスクが理解できる
月ごとのスケジュール例やコンサル現場の成功事例を参考に、自社に合った年間計画を立案できる
PDCAサイクルを回していく際のポイントや失敗回避のアイデアが得られる
1.2. なぜISMSの「年間計画」が重要なのか?
ISMSを運用するには、1年を通じた一連の流れ(リスクアセスメント、社員教育、内部監査、マネジメントレビュー、外部監査など)を統合的に管理する必要があります。
理由:
やるべきことを時期ごとに明確化していないと、対策や書類作成が後手に回り、監査直前に慌てるケースが多い
年間計画をきちんと作れば、形骸化を防ぎ、リスクに対応する施策が確実に実行できる
コンサル経験談: しっかりした計画がある企業は社員全体の協力を得やすく、外部監査前にバタバタしにくい印象があります。
2. ISMS 年間計画の基本:PDCAサイクルと運用フロー
2.1. Plan(計画)→Do(実行)→Check(監査)→Act(改善)の流れ
ISMSでは、情報セキュリティを高めるために、PDCAサイクルを回すことが重要です。
Plan(計画): リスクアセスメントや方針策定、年間目標を設定
Do(実行): 教育や監査準備、具体的対策の運用
Check(監査・評価): 内部監査やマネジメントレビューで運用状況をチェック
Act(改善): 不備を改善し、次年度計画や随時対応に反映
2.2. 年間計画を作るメリット:形骸化を防ぎ、事故リスクを下げる
ポイント: 事前に“いつ何をやるか”を社員全員で共有できる → 担当者任せにせず、全社で取り組める土台ができる
例: 「5月に内部監査を実施→7月に外部監査→9月に改善報告」といった大まかな流れを前もって周知すると、各部署もそれに合わせた準備を行いやすい。
2.3. 規格(ISO27001)上で求められる年間の主なイベント
ISO27001では、内部監査やマネジメントレビューを定期的に行うことが要求されています。
外部監査(ステージ2審査やサーベイランス審査)も年1回程度あり、こちらは認証機関とのスケジュール調整が必要。
3. まず押さえたいISMSの主な年間タスク
3.1. リスクアセスメントとリスク対応策の見直し
内容: 企業が抱えるセキュリティリスクを評価し、リスクレベルに応じて対策を決定
頻度: 少なくとも年1回。大きな組織変更やシステム導入時に随時行う
コンサル談: リスクアセスメントで「どこが危険か」を意識すると対策の優先度がはっきりし、後の計画が立てやすい。
3.2. セキュリティ方針・目標の設定・更新
例: 「誤送信ゼロを目標に年内削減対策を実施」「廃棄ルール徹底で紛失件数ゼロ」など
ポイント: 数値や具体指標があると社員に浸透しやすい。マネジメントレビューでトップが承認したものを全社員へ周知する。
3.3. 社員教育・研修の計画(新入社員/定期研修/追加研修)
タイミング: 新年度開始時や半年ごとなど
内容: Passwordルール、持ち出しメディア、フィッシングメール対策、SNS利用ポリシーなど
コンサル実例: 大規模企業では新入社員研修で必ずセキュリティセッションを設けており、事故を未然に防ぎやすい。
3.4. 内部監査と改善報告(サイクル・範囲・方法)
内部監査: 自社スタッフまたは第三者がISMS運用を客観的に検証し、不備を洗い出す
範囲: 全部門を一度に監査する場合もあれば、分割して行うことも
改善報告: 監査後に不適合や観察事項をリスト化し、対策を検討→次回監査やマネジメントレビューに報告
3.5. マネジメントレビュー(経営層への報告と方針見直し)
役割: トップマネジメントが監査結果やリスク状況を踏まえ、必要な資源投入や目標修正を検討
頻度: 年1回以上。外部監査や内部監査の後に行う流れが多い
コンサル見解: 経営層がここで本気度を示すと、運用が大幅に改善しやすい。
4. 【年間スケジュール例】月ごとのISMS運用ポイント
4.1. 1~3月:リスク評価の実施・計画策定期(予算や体制整備)
1月: 前年度のインシデントや監査結果を確認→リスク再評価
2月: 新年度向けのセキュリティ目標設定、予算案の作成→経営層と折衝
3月: 年度末までに計画を最終確定、必要ドキュメントや手順書を改定
コンサル実例: 新年度開始に向けて、いちばん大事なのがこの時期の「Plan」フェーズ。
4.2. 4~6月:文書整備・社員教育・運用の徹底(新年度スタート)
4月: 新入社員研修で情報セキュリティの基礎を周知。部門別に方針をリマインド
5月: 文書や手順書の改定内容を浸透させる。リスク対策の具体施策(例:パスワード強化など)を実行
6月: 簡易的な社内チェックや棚卸し、課題をリストアップ
メリット: 新年度始めにガッとルールを固めると、年間を通じて運用が安定。
4.3. 7~9月:内部監査の準備・実行(リスクフォローアップ)
7月: 監査チームと監査計画を立て、どの部署をどの観点で見るかを決定
8月: 実際に内部監査を実施→指摘事項を洗い出し、課題を集約
9月: 改善計画を策定し、必要なら経営層へ追加予算申請
コンサル所見: このタイミングで見つかった不適合を秋以降にしっかり修正する企業が多い。
4.4. 10~12月:外部監査対応・マネジメントレビュー→次年度計画策定
10月: 外部監査(サーベイランス審査や更新審査)に向けて最終準備
11月: 監査実施。指摘事項が出たら修正→認証継続または更新
12月: マネジメントレビューで結果を報告し、改善策や来年度方針を方向付け
成果: 次年度に向けてのPDCAサイクルがここでしっかり回り、組織的にリスク低減が進む。
4.5. コンサル経験談:小規模~中規模企業でよくある1年の流れ
小規模: 短いスパンで内部監査→外部監査を集中して行い、残りの期間は対策実施に注力
中規模: 各部署が順番に監査を受け、年末に経営層へ一斉報告→次年度計画へ反映
5. 計画を立てる際のポイント:リスク優先度とリソース配分
5.1. 「すべてを完璧にやろう」としない、優先度づけの重要性
理由: ISMS導入初年度に全課題を完全解決しようとすると、担当者が疲弊し形骸化しやすい
方法: リスクアセスメントで高得点の項目から手をつけ、低リスクは後回しに
5.2. リソース(人員・予算)の確保と経営者の理解を得るコツ
実務: 年間計画で必要な施策(教育、システム改修、コンサル費など)の予算をリスト化→経営会議で承認を得る
コンサルアドバイス: “セキュリティに投資しないリスク”を数値化し、経営層に説明すると納得しやすい。
5.3. コンサルの実例:半年以内の認証取得を目指す短期プロジェクトの進め方
背景: 大手取引先がISMS必須→短期認証が必要
手順: 1~2か月かけて文書整備&リスクアセスメント→社員教育や内部監査を短期集中→ステージ1、2審査へ
注意: 短期で無理やり取ると、認証後の運用が大変なので、次年度以降も計画を継続的に行う。
6. 運用に役立つ管理ツール・テンプレート紹介
6.1. 年間計画表テンプレート(Excel例、ガントチャートなど)
おすすめ: 月ごとに「主なタスク」「担当部署」「期限」「チェック項目」を入れたガントチャート形式→全体の進捗が一目瞭然
活用: デイリーorウィークリーで更新し、共有フォルダや社内SNSで見られるようにする。
6.2. 内部監査チェックリスト、リスクアセスメント表のサンプル
内部監査チェックリスト: 要求事項(ISO27001規格)の各条項に対応 → 「文書はあるか? 運用は合っているか?」を yes/no で回答
リスクアセスメント表: 資産・脅威・脆弱性、影響度×発生確率など
コンサル所見: ひな形はあるが、各社の業務実態に合わせてカスタマイズが大事。
6.3. クラウドやタスク管理ツール(Trello, Asanaなど)の活用法
例: Trelloボードで「To Do・Doing・Done」にタスクを並べ、ISMS作業を視覚的に管理
メリット: 担当者や期限が明確化し、見落としを減らせる。外部監査前にタスク漏れをなくす。
7. 【詳細解説】ISMS 年間計画で押さえるべき主要行事
7.1. 内部監査:準備~実行~報告までのステップ
準備: 監査計画(監査日、対象部署、チェックリスト作成)
実行: 文書と現場運用の整合性を確認、不備や観察事項を記録
報告: 監査報告会で不適合や改善案を共有 → 改善計画作成
7.2. マネジメントレビュー:経営層の意思決定と継続的改善
開催: 年1回以上。内部監査後や外部監査後に行うことが多い
議題: リスク評価結果、監査指摘、セキュリティ目標の進捗、要改善リソースの要否など
狙い: 経営層が「本当にやるべきこと」に予算を出し、強力に推進する仕組み
7.3. 外部監査(認証審査・サーベイランス審査)への備え
初回認証: ステージ1で文書中心、ステージ2で運用実態を詳しく審査
サーベイランス: 毎年の継続監査。軽微な不適合は期限内に是正報告すればOK
対策: 年間計画の中で、認証機関との日程調整・書類準備・リハーサルを組み込む
7.4. 社員教育・訓練:フィッシング対策演習、セキュリティ勉強会など
実務: メール誤送信演習、フィッシング模擬訓練、eラーニングプログラム
コンサル経験: 社員が「なぜ守る必要があるのか」を理解すると事故発生率が激減。年1~2回の演習が効果的。
8. リスクアセスメントを年間計画に組み込む方法
8.1. リスクの洗い出し・評価のタイミング(年1回+随時)
例: 3月に主要リスク評価→8月にフォローアップ監査→必要に応じて途中で追加評価
ポイント: 大きな組織変更やシステム導入時にも「追加入り口評価」を実施し、計画に反映する。
8.2. 影響度×発生可能性で優先順位をつけ、対策を予算化
方法: Excelや専用ツールでリスクスコアを算出 → 上位10件を重点対策とする
メリット: 予算や人員が限られていても、高リスクから潰していけば事故リスクを劇的に下げられる。
8.3. 改善策の進捗管理:課題表を共有しフォローアップ
実例: Trelloで「課題」「対策案」「進捗状況」を全社員が確認できるようにする
コンサル視点: 定例会で課題表を見ながらアップデートし、誰が何をいつまでにやるのか明確に。
9. 企業規模別の年間計画の立て方(小規模~大企業)
9.1. 小規模企業:担当者1名+事務局兼務の場合の効率的な進め方
特徴: 人員が少ないため、一人に重い負担がかかりやすい
解決: 年間計画をシンプルにし、優先課題を明確化。外部コンサルや専門家のスポット支援を活用し、短期間で集中的に仕上げる
9.2. 中堅企業:部署ごとの責任者を置き、運用委員会で連携
構造: 部署代表(セキュリティリーダー)+事務局で「ISMS運用委員会」を形成 → 月イチor季節ごとに進捗を共有
メリット: 部署間連携しやすく、全社的にリスク対応が行き届く。
9.3. 大企業:複数拠点・部門の統合監査と年間スケジュール
課題: 部門が多くなると内部監査だけで数週間かかるケースも
対策: 監査対象を複数グループに分割し、リスクの高い部門優先で時期をずらして監査→年末に集約。各拠点で監査委員をローテーションすると効率的。
10. よくある失敗例と対策アイデア
10.1. 年間計画が大雑把で誰も動かない:小さく具体的なタスクへ落とし込む
失敗例: 「夏に内部監査をやります」だけ → 結局準備は直前まで誰もしない
解決: 「6月に監査計画策定」「7月○日監査実施」「8月○日報告会」など具体的にタスク化&担当設定。
10.2. 年度途中で方針が変更→計画未更新で混乱
背景: 新製品ローンチ、組織再編などでISMSが後回しに
対策: 重要な変化があれば臨時で計画を更新。柔軟に運用することで混乱を回避。
10.3. 監査時期に書類整備が間に合わず再審査費用が発生
失敗例: 外部監査直前に書類が不備だらけで再監査に…コストも時間も余計にかかる
アドバイス: 計画の中で「書類棚卸し/更新」の月を設定し、逐次見直しを行う。事務局が進捗管理を徹底。
10.4. コンサル視点:計画があいまいだと形骸化が進む
原因: 経営者が「とりあえず認証取れればいい」という姿勢だと、現場のモチベーションも低下
提案: 年間計画を経営層が承認し、全社員に共有する → 本気度が伝わり、協力も得られる。
11. 【Q&A】ISMS 年間計画に関する素朴な疑問
11.1. 「年1回の内部監査で十分? それとも複数回やるべき?」
回答: 規格上は年1回以上が一般的だが、リスクが高い部署や新規プロジェクトがある場合は年2回以上がおすすめ。
実例: 小規模企業は1回に集中、中規模は上半期と下半期で分けるケースが多い。
11.2. 「4~6月は忙しい…社員教育をいつ入れると効果的?」
提案: 新年度スタート直後の4月、または夏前に半日研修などを実施。忙しい部署には短時間オンライン研修や動画視聴を組み合わせる。
11.3. 「外部監査は毎年?サーベイランス審査のタイミングをどう組み込む?」
解説: 一般的に年1回のサーベイランス審査があり、3年ごとに更新審査が行われる
対策: 年間計画に「外部監査2か月前」から準備期間を入れると焦らずに済む。
11.4. 「新規事業や組織変更が頻繁だと計画が崩れそう…どう対応する?」
アドバイス: 計画を“固定”ではなく“ベースライン”として置き、追加・修正を適宜行う。リスクが大きい変化は特別にリスク評価を実施→計画に反映。
12. まとめ:年間スケジュール例を活用し、ISMS運用を安定化させよう
12.1. 記事の要点:PDCAサイクル+年次計画で迷子にならない仕組み
まとめ: ISMSの大まかな年間タスク(リスクアセスメント、内部監査、マネジメントレビューなど)をカレンダーに落とし込み、PDCAの流れを1年かけて回す
12.2. 定期見直しと部門間コミュニケーションでリスクを着実に軽減
理由: 社内ルールや状況は動的に変化する→計画を都度アップデートし、全社員との情報共有が必須
コンサル論: 部署間連携が強い企業ほど事故が減りやすく、外部監査でも「連携が取れている」と好評を得る。
12.3. ISMSは年間計画で継続するほど企業価値が向上
結論: 1年で完結するものではなく、毎年改善しながらセキュリティを強化 → 顧客や取引先からの信頼も上がる。
メッセージ: 少しずつでも計画に沿って進めていけば、結果として大きな事故予防につながる。
おわりに
ISMSは、1年間を通してPDCAサイクルを回すことで、初めて効果を実感しやすい仕組みです。明確な「年間計画」を作り、適切な時期にリスク評価・内部監査・社員教育などのイベントを配置しておけば、後から「監査直前に慌てる」ことを減らせます。
ポイント:
まずはざっくりと四半期ごとや月ごとに「何をするか」を決めて共有。
リスクの高い項目を優先し、無理なく動かせるリソースを確保する。
定期的に計画を見直し、組織変化や外部環境の変化に柔軟に対応する。
こうした年間スケジュールをベースに運用する企業では、外部監査でも「計画的に運用されている」と評価されやすく、リスク対策の実効性も高まります。ぜひ本記事の例を参考に、自社オリジナルの年間計画を作り上げ、ISMSをより効果的に活用してみてください。
この記事の監修者情報
金光壮太 (ISOコンサルタント)
大手商社にて営業を経験した後、ISOコンサルティングに従事。ISO9001、14001、27001を中心に、各業界の課題や特性に応じたシステム構築や運用支援を行い、企業の業務効率化や信頼性向上に貢献。製造業や建設業など、多岐にわたる業界での豊富な経験を活かし、お客様のニーズに応じた柔軟なソリューションの提案を得意としている。
Comments