【STAGE 0】全体理解編
― ISOは“資格”ではなく“経営管理システム”である ―
0-1 ISO27001とは何か?
- ISMSの定義
- ISO27001の目的
- 認証取得の意味
- 審査機関の役割
0-2 取得の全体ロードマップ
- キックオフ
- 適用範囲決定
- リスクアセスメント
- 文書整備
- 内部監査
- マネジメントレビュー
- 本審査
▶ ゴール定義演習
「なぜ自社はISOを取るのか?」
【STAGE 1】規格理解編
― 条文を読める担当者になる ―
1-1 ISO27001構造理解
- Annex SL構造
- 4〜10章の意味
- 附属書A(管理策)の位置づけ
1-2 各章の本質
4章:組織の状況
- 内外部課題
- 利害関係者
- 適用範囲
5章:リーダーシップ
- 経営層関与
- ISMS方針
6章:計画
- リスクアセスメント
- リスク対応
7章:支援
- 教育訓練
- 文書管理
8章:運用
- リスク対応の実施
9章:パフォーマンス評価
- 内部監査
- マネジメントレビュー
10章:改善
- 是正処置
▶ 条文読み解き演習付き
【STAGE 2】実務設計編
― 文書を作れる人になる ―
2-1 必須文書一覧
- ISMS方針
- 適用宣言書(SoA)
- リスクアセスメント記録
- 手順書
- 内部監査記録
2-2 リスクアセスメント実践
- 資産洗い出し
- 脅威抽出
- 脆弱性特定
- リスク評価
- 受容基準
▶ 実践ワーク
「自社資産でリスク表を作る」
2-3 適用宣言書(SoA)の作り方
- 管理策選択理由
- 不適用の根拠
【STAGE 3】監査対応編
― 審査で落ちない担当者になる ―
3-1 内部監査の設計
- 監査計画
- 監査チェックリスト
- 是正処置管理
3-2 一次審査(文書審査)対策
- よくある指摘事項
- 不適合例
3-3 二次審査(現地審査)対策
- インタビュー対応
- 想定質問集
- 経営層対応ポイント
▶ 模擬監査演習
「審査員役とのロールプレイ」
【STAGE 4】運用定着編
― 取得後に形骸化させない ―
4-1 年間運用スケジュール設計
- 教育訓練計画
- 内部監査計画
- マネジメントレビュー
4-2 継続的改善の仕組み
- KPI設定
- インシデント分析
- 改善ログ管理
4-3 更新審査対策
- 3年サイクル理解
- 改善実績の積み上げ
【STAGE 5】経営連動編
― ISOを“競争力”に変える ―
5-1 BtoB営業での活用
- 提案資料への組み込み
- 信頼構築
5-2 上場・金融機関対応
- 情報セキュリティ体制の説明
- デューデリ資料作成
5-3 セキュリティ文化の醸成
- 全社員テスト制度
- 教育の仕組み化
- クラウドセキュリティ連動
📊 実践トレーニング設計
✔ 各章構成
- 理論解説
- 実務テンプレート
- ケーススタディ
- 演習ワーク
- 想定審査質問
🎯 到達レベル定義
| レベル | 到達状態 |
| 初級 | 規格を理解できる |
| 中級 | 文書を作れる |
| 上級 | 監査に対応できる |
| 実践 | 組織を動かせる |
| 経営 | ISOを戦略化できる |
🧠 ISO取得担当者の本質
最大の失敗は
「コンサル任せにすること」
担当者が規格を理解しなければ、
更新時に崩壊します。
ISOは“書類作り”ではない。
経営管理システムを作ること。