ISMS
運用・更新
ISMS審査は難しい?取得審査・継続審査・維持審査の流れや費用を解説
目次
ISMS審査とは?
ISMS審査とは、情報セキュリティシステムに関するISO規格の認証取得に必要な審査を指します。
ISMS審査は、ISO認証機関が申請企業に出向いて現場で審査することによって行われます。
認証機関は現在、日本国内においておよそ60社ありますが、当然その審査内容は同じです。ただし、細かな手続きの仕方や審査費用などは変わってきます。そのため、企業としては自社にとってメリットの大きな認証機関を選んで、そこに申請することが求められます。
ISMS審査の種類
ISMS審査には以下の3種類があります。
- 初回審査(取得審査)
- 維持審査
- 更新審査
| 初回審査 | 維持審査 | 更新審査 | |
|---|---|---|---|
| どんな審査? | 認証取得に必要な基準を満たしているか | 前回審査以降の運用状況をISMS規格に沿って確認(問題がなければ認証を維持可能) | ISMS認証の更新に問題がないか確認(3年ごとに実施) |
| 審査の工数(時間) | ・1次審査 ・2次審査 に分けて実施。 2次審査は、約1か月の間隔で行われる | 1日〜数日 初回審査の約1/3程度 | 数日〜1週間程度 初回審査の約2/3程度 |
| 実施時期 | 運用準備が整った段階で申請し、審査を受ける | 初回審査後、毎年1回実施 | 初回審査後、3年ごとに1回実施 |
ISMS審査は、認証を受けるために1回パスすれば良いというものではありません。というのも、ISO認証というのは、一度取得したら永久的に保持できるものではないからです。ISMS認証については、1年に1回の維持審査というものが定められています。つまり、毎年この認証を維持するための審査を受けないと、失効してしまいます。
さらに、3年に1度更新審査というものもあります。維持審査よりも厳格な内容での審査となり、基準にしっかりと沿っているか、運用を続けていく中で課題などを適切に解決しているかなどをチェックされます。
ISMS審査に必要な7つの書類
ISMS審査を受けるためには、7つの記録を含む運用記録を準備する必要があります。これらの記録は、ISMSが適切に運用されていることを審査員に示すための重要な証拠となります。
維持審査では1年分、更新審査では3年間分の記録が必要です。
| 情報リスクアセスメント表 | 組織が保有する情報資産のリスクを洗い出し、評価した結果を記録したもの |
|---|---|
| 目的目標管理 | ISMSの目的と目標を定め、達成状況を記録したもの |
| リスク対応計画 | 特定されたリスクへの対応方法を計画し、実行状況を記録したもの |
| 教育の記録 | ISMSに関する教育の実施内容、対象者、効果測定結果などを記録したもの |
| 事業継続計画 | 災害等が発生した場合の事業継続のための計画を記録したもの |
| 内部監査の記録 | ISMSの内部監査の実施内容、監査結果、是正措置などを記録したもの |
| マネジメントレビューの記録 | ISMSのマネジメントレビューの実施内容、検討事項、決定事項などを記録したもの |
ISMS審査に必要な記録の作成には、専門知識や経験が必要となります。そのため、ISMSコンサルタントを活用するのも有効です。
ISMSコンサルタントは、記録作成のテンプレートやフォーマットを提供したり、記録作成のガイドラインや手順を説明したりすることができます。また、記録内容のレビューや審査員への説明も支援してくれます。
ISMS初回(取得)審査の流れを理解しよう
ISMS審査で何をするかを理解しておくと、スムーズに準備を進められます。
具体的な流れは以下の通りです。
- 審査機関の選定
- 申し込み
- 一次審査
- 二次審査
詳しく解説します。
1.審査機関の選定
ISMS認証機関、つまり審査を行う機関を選びます。費用や手続きの面で機関による違いがありますので、複数の会社を比較して慎重に選びましょう。
2.申し込み
審査申込みとは、審査機関から求められる書類を提出して審査機関と契約をし、自組織の審査を依頼することを指します。
ISMS認証新規取得に向けた取り組みをおこなう中で、認証取得範囲などが決まってしまえば、実際にルールが出来上がる前に審査機関に審査の申込みをすることができます。
3.一次審査
一次審査は、主に書類審査となり、正式手続きにおいて必要な書類が揃っているかをチェックします。
たとえば、社内でのISMSポリシーや情報セキュリティ目的が明確に文書として記録されているか、リスクアセスメントのプロセスが決まっていて、関係する情報がすべて文書になっているかなどです。
また、企業におけるリスクの洗い出しや課題などが明確化されているかも確認されます。
4.二次審査
二次審査は、現場審査となります。規格に沿った形でルール策定や組織作りなどが実行されているかを確認します。
同時に、すでに行っているはずの運用に関する検証、分析とその後の改善計画の策定についてもチェックを行います。
申込・一次審査・二次審査を終えると、ISMSの認証を得られます。問題があった場合は、審査員からその点についての指摘がなされます。
二次審査で指摘があっても問題分析と改善計画を策定し提出すれば、認証取得は可能です。
ISMS審査の申し込みから認証取得までにかかる期間
ISMS審査の一連の流れがスムーズに行くと、3カ月から4カ月程度で認証を取得できます。
申し込み後から、第1段階審査が実施されるまで1カ月くらいかかることを覚えておきましょう。その後、2週間から1カ月の待機期間があります。第2段階審査が実施されて、結果が通知されて認証が出るまでさらに1カ月から2カ月というところです。
ただし、第2段階審査で不備が見つけられ是正をする必要が生じた場合、さらに是正報告の策定と提出、チェックが加わります。そのため、多少期間が伸びることになります。それでも、一般的には半年以内で終了できることがほとんどです。
ISMS審査にかかる費用
ISMS審査費用は、数十万円から数百万円かかります。
審査費用には幅があるのですが、これは認証を受ける企業や部署の規模、適用する範囲、申し込む認証機関といった要素が関係してきます。
ISMS認証は初回だけでなく、毎年そして3年に1度の審査を継続することになります。どの審査でも費用がかかりますので、その分も見越して予算組みをした方が良いです。
審査に落ちないためには
せっかく準備をしても審査で落ちてしまっては、時間も審査費用も無駄になってしまいます。
こうした事態に陥らないためには、まず信頼できるコンサルタントを頼ることが重要です。少なくても初めての認証取得であれば、自社だけですべてをスムーズに行うのはかなり難しいです。
書類作成のポイントや、運用におけるチェックすべきところなどは、経験や実務上の専門知識がないとカバーできないこともあるからです。
ある程度費用がかかるとはいえ、コンサルタントからのアドバイスを受けることで、スムーズに審査に通るでしょう。
また、経営陣が積極的に関わることも重要です。ISMS認証に当たっては、組織改編が求められることが多いですし、社員教育や新しいツールの導入、業務手順の変更などもなされ、企業全体に影響を及ぼすからです。
さらに、ISMS審査では経営陣に対するインタビューもなされます。いくら現場で努力していても、経営陣に高い意識がないと判断されると審査パスは難しいです。高い意識と必要な知識の勉強を事前にしておくべきなのです。
まとめ
ISMS審査とは、主にISO27001の基準に沿って書類作成と現場での運用がなされているかをチェックするものです。
難しい審査ではありますが、流れを押さえて何をするかを把握した上で準備を進めていけば取得できるはずです。コンサルタントに頼りながら、着実に準備を進めていきましょう。
