基本コンサルティング内容を以下に示します。

（1）コンサルティング（適用範囲等の検討）

ISMSを導入する場合の適用範囲は、いくつかの適用範囲が考えられます。
複数の代表的適用範囲の候補とその特質（適用範囲部署等）を評価し、貴社適用範囲決定の手助けをします。またそのときのセキュリティ対策として投資を行うとすれば、どのような投資が考えられるかを示します。さらに、推進体制、スケジュール等についてもコンサルティングします。

（2）文書見本の提供

ＩＳＭＳ構築において作成するＩＳＭＳマニュアル、規定、様式の見本を電子情報形式で提供します。なお、これら文書は、ISO/IEC27001（JISQ27001）対応のものを提供します。

（3）リスクアセスメント支援

リスクアセスメントに関する以下の作業を支援します。
[1] 情報資産のリストアップと情報資産価値の評価
[2] 脅威・脆弱性のアセスメント
[3] セキュリティ管理策の選択
[4] リスク対応計画作成
[5] リスクアセスメントのまとめ
[6] 適用宣言書の作成

（4）コンサルティング（ＩＳＭＳ構築）

文書見本の説明、ＩＳＭＳ構築のアドバイス、疑問等への回答、貴社作成ＩＳＭＳマニュアル・規定のチェック等を行います。

（5）コンサルティング（運用時）

事業継続管理、マネジメントレビュー、技術的順守、管理策有効性評価、セキュリティ目標等の具体的実施例をもとにアドバイスします。

（6）内部監査支援

内部監査員研修の受講だけでは、不適合事項を的確に指摘できる内部監査員の育成は困難です。貴社内部監査員と一緒になって、内部監査を行うことにより、内部監査員の育成と効果的な内部監査を行います。

（7）研修

ISO/IEC27001（JISQ27001）の規格の解釈、内部監査員養成の研修を実施します。また、実施した研修の有効性を評価した報告書を作成し貴社に提出します。

認証取得には、必ずしもコンサルティングを受ける必要がない下記の内容もご要望があれば、行います。

（1）セキュリティ診断

ネットワーク上のコンピュータに対してのセキュリティ対策が十分であるかどうかを診断します。セキュリティ対策が甘ければ、第３者や内部の悪意ある人から、情報搾取やデータ破壊などの攻撃が可能になってしまいます。
ネットワークのセキュリティ診断を行うことにより、外部ネットワーク（インターネット経由）からの攻撃や、内部ネットワークからの攻撃の受けやすさが明らかになります。
表１に示すセキュリティ診断を行い、その結果ネットワークやそれにつながるマシンの弱点を報告します。特に危険な点があれば、その対策についても助言いたします。

表1・ネットワークセキュリティ診断内容

診断項目	方　　法	目　　的
公開Ｗｅｂセキュリティ診断	公開Ｗｅｂサーバーに対し、ツールを使っての脆弱性スキャンを行います。	公開サーバーの操作権限を不正に取得し、それにより内部ネットワークへ侵入できる可能性があるかどうかを調査します。
内部クライアント脆弱性診断	全サーバー、クライアントに対してポートスキャン、脆弱性スキャンを行います。	ネットワーク上に攻撃されやすい状態のサーバーが存在するか、クライアントからの情報漏洩の危険が存在するかを調査します。
ファイル共有の脆弱性診断 （Ｗｉｎｄｏｗｓ系）	サーバー、クライアントの共有情報の検査と、脆弱なパスワードの検出を行います。	マシンの共有ファイル状態を検査し、他人からデータを盗まれる可能性があるかを調査します。
盗聴セキュリティ診断 （Ｗｉｎｄｏｗｓ系）	ネットワーク上でのパケットキャプチャとパスワード解析を行います。	ネットワーク上の電文を盗むことにより、認証情報（ＩＤ、パスワード）が漏れる危険性があるかを調査します。

（2）模擬審査

本審査形式に従って、本審査受審前に模擬的に審査し、不適合事項の指摘及び是正処置アドバイスを行い、本審査に備えます。

（3）教育

社員へのセキュリティ教育は、貴社で行われるのが一般的ですが、要望があれば、講師を引き受けます。実施した教育の有効性を評価した報告書を作成し、貴社に提出します。