2023年3月3日
目次
Close
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISMSの審査には、初回審査・維持審査・更新審査の3つがあります。また、初回審査には一次審査(文書審査)と二次審査(現地審査)があります。ISMS認証を取得するには、準備期間も含めて約6ヶ月〜1年かかり、そのうち、審査にかかる期間だけでも3〜4ヶ月は見ておく必要があります。
しかし
「それぞれの審査の違いがわからない」
「審査当日の流れがわからないので不安」
と感じる方もいらっしゃるのではないでしょうか?
本記事では、このような不安を解消するために、各審査の目的、期間、そして当日の流れを分かりやすく解説します。
1.ISMSの審査の種類は3つ
ISMSの認証を維持していくためには、取得するための審査、認証を継続するための審査、更新する際の3つの審査を受ける必要があります。
| 審査の種類 | 審査を受けるタイミング |
| 新規認証時の初回審査(一次審査・二次審査) | ISMSを認証取得する際に受ける審査 |
| 維持審査(サーベイランス審査・定期審査) | ISMSを認証取得した翌年から1年ごとに受ける審査 |
| 更新審査(再認証審査) | 3年間の有効期間が満了する前に実施される審査 |
⑴新規認証時の初回審査:一次審査・二次審査
| 審査の種類 | 内容 |
| 一次審査(文書審査) | ISMS関連の規程、マニュアルなどの文書が、ISO/IEC 27001の要求事項に準拠しているかを確認 |
| 二次審査(現地審査) | 審査員が現場を訪問し、文書通りの運用がされているかを確認 |
初回審査はISMSを新規認証する際に受ける審査で、一次審査(文書審査)と二次審査(現地審査)の2つに分かれています。
一次審査(文書審査)では、作成したISMSの規程やマニュアルなどの文書がISMSの要求事項を満たしているか確認されます。
二次審査(現地審査)では、審査員が実際にISMSが運用されている現場(本社や工場など)を訪問し、文書通りにISMSが運用されているかを確認します。
⑵維持審査(サーベイランス審査・定期審査)
維持審査は、ISMSの認証を取得した翌年から、毎年1回実施される審査です。認証の有効期限は3年のため、通常は認証取得後1年目と2年目に実施されます。
この審査の目的は、認証を取得した後も継続的かつ適切に運用されているかを確認することです。
審査員は、前回指摘された不適合の改善状況や、日々の運用状況をチェックし、ISMSが正しく運用されているかを評価します。
⑶更新審査(再認証審査)
ISMSの更新審査は、認証の有効期限が切れる前(3年ごと)に行われる審査です。
この審査の目的は、組織が継続してISO27001の基準を満たしているかを確認し、認証を更新することです。
更新審査では、初回審査と同様に、文書審査と現地審査の両方が実施されます。
維持審査よりも審査範囲が広く、ISMS全体の運用状況や、これまでの改善状況が詳細に評価されます。
この審査に合格することで、ISMS認証の有効期限がさらに3年間延長されます。
ISMSの更新審査についてはこちらの記事で詳しく解説しています。
2.ISMS認証取得の審査は約4ヶ月かかる
ISMS認証を取得するには、準備期間も含めて約6ヶ月〜1年かかります。
そのうち、審査にかかる期間だけでも3〜4ヶ月は見ておく必要があります。
認証取得までの主な流れは以下の通りです。
①申請:審査機関を選定し、申請を行います。
②一次審査(文書審査):文書がISO27001の要求事項を満たしているか確認します。
③二次審査(現地審査):現場でISMSが有効に運用されているかを確認します。
④不適合の是正:審査で指摘された点を改善します。
⑤認証取得
認証機関(審査機関)への申請から審査まで約1ヶ月、
一次審査、二次審査がそれぞれ約1ヶ月ずつ、
審査から認証取得まで約1ヶ月ほどかかります。
⑴申請
ISMS認証の審査を受けるには、まず審査機関を選定し、申し込みを行います。審査費用は従業員数や拠点数に応じて変動するため、複数の審査機関から相見積もりを取ることが推奨されます。また、ISMS認証の取得範囲などが決まれば、ルールが完全に出来上がる前でも審査の申し込みが可能です。審査を希望する時期の3〜4カ月前までに申し込みを行いましょう。
ISMSの認証機関の選び方についてはこちらの記事をご参考ください。
⑵一次審査
一次審査の目的は二次審査へ進むための準備が整っているかどうかの確認です。
審査では作成したISMS関連文書の内容が、ISO27001の要求事項を満たしているかを確認されます。
文書の不備や矛盾点を指摘された場合、是正措置を行う必要があります。
【例:審査当日の流れ】
①オープニングミーティング
審査員と組織の担当者が集まり、審査の目的、範囲、スケジュールなどを確認します。
②トップインタビュー(経営者インタビュー)
マネジメントシステムのトップ(経営者)にヒアリングが行われます。
今後の会社の展望を確認されます。
③ 文書審査
審査員が、ISMSマニュアル、情報セキュリティ基本方針、各種規程などの文書がISO 27001の要求事項を満たしているかを詳細に確認します。
また、文書に記載された内容の意図や背景について、管理責任者やISMS担当者にヒアリングを行います。
④ クロージングミーティング
審査員から一次審査の結果(適合・不適合の判断)が報告され、不適合があった場合の今後の対応について説明があります。
⑶二次審査
ISMSが文書通りに運用されているかを詳細に確認します。
二次審査の主な目的は、組織がISMSを有効に実施しているかを評価することです。
審査日数は、部門の数や組織の規模によって増える場合があります。
具体的には、以下の点が審査の焦点となります。
- 経営層のコミットメント:経営層が情報セキュリティ目標に対して責任を持ち、関与しているか。
- リスク管理:リスクアセスメントが適切に行われ、その結果に基づいて管理策が決定されているか。
- 運用の有効性:決定されたセキュリティ対策(管理策)が、方針や目的に沿って実際に効果的に実施されているか。
- 全体の一致性:方針、目的、リスクアセスメント、管理策がすべて一貫しているか。
この審査を通じて、ISMSが単なる文書上のルールに留まらず、組織全体で機能していることが確認されます。
【例:審査当日の流れ】
① オープニングミーティング
審査員と組織の担当者が集まり、審査の目的、範囲、スケジュールなどを確認します。
②トップインタビュー(経営者インタビュー)
経営層へのインタビューが行われます。
ここでは、ISMSの取得動機、適用範囲、現状評価、マネジメントレビューの結果など、ISMSに対する経営層の関与やコミットメントが確認されます。
③現場視察(サイトツアー)
審査員が組織のオフィスや施設を視察し、物理的なセキュリティ対策(入退室管理、鍵の管理など)や、人的セキュリティ対策(従業員の教育状況など)の概要を確認します。
④管理責任者インタビュー
ISMSの運用を統括する管理責任者に対し、ISMS要求事項への対応状況や、関連する管理策の実施状況などが詳細に確認されます。
⑤ 部署別ヒアリング
特定の部署の担当者へのヒアリングが行われます。
ここでは、ISMS要求事項や関連する管理策が、各部署の業務でどのように運用されているかが確認されます。
⑥審査結果の取りまとめと報告
審査員が、これまでの審査で得られた情報を整理し、報告書を作成します。
その後、クロージングミーティングで組織の担当者に対し、審査結果の概要が報告されます。不適合や改善のための観察事項などがあれば、この場で伝えられます。
⑷不適合の是正
不適合とは「要求事項を満たしていない」と判断された結果を指します。
ISMSの審査での不適合は、そのレベルに応じて、主に「重大な不適合」と「軽微な不適合」に分類されます。
また審査機関にもよりますが、不適合ではない指摘(観察事項や改善の機会)があります。
①重大な不適合
審査において審査員が「マネジメントシステムが成り立っていない」と判断した結果のことであり、主な例として内部監査やマネジメントレビューを実施できていない場合等が該当します。
審査中に重大な不適合が発見された場合、審査は一時中断となることもあります。
登録や更新が一旦保留とはなりますが、改めて再審査を受けて許可が下りれば認証まで完了させることができます。
②軽微な不適合
審査で出る不適合の多くが、この軽微な不適合です。
審査において、審査員が「要求事項の一部を満たしていない」と判断した結果のことであり、マイナーな不適合ともいいます。
軽微な不適合が出た場合には組織のルールに基づいて是正処置を行うと同時に、審査機関のルールに則った是正処置報告書を作成し審査員に提出する必要があります。
③観察事項
不適合ではなくとも審査員の注意点が報告される場合があります。
審査機関によって呼び方が変わるため、観察事項・推奨事項・改善の機会など様々な名称があります。
必ずしも対応する必要はありませんが、審査員の視点でのアドバイスとして捉え、対応が必要かを検討し、必要であれば処置を行うようにしましょう。
審査でよく出る不適合・推奨事項事例はこちらの資料で詳しく解説しています。
ぜひ資料をご確認ください。
3.ISMSの審査に必要な準備物は2種類
ISMSの審査に必要な準備物は、大きく「文書類」と「記録」の2種類に分けることができます。
⑴文書類
文書類は主に、方針や手順を示すものです。
- ISMSマニュアル
- 情報セキュリティ基本方針
- 適用宣言書
- 情報セキュリティ管理規程
- リスクアセスメント規程など
- リスク対応計画
- 情報セキュリティ目的管理表
- 教育計画
- 事業継続計画マニュアル
- 関連法規制一覧表 など
⑵記録
実際にISMSが運用されていることを客観的に証明するための成果物や活動の履歴が記録にあたります。
- 情報資産リスクアセスメント表
- 情報資産管理台帳
- 内部監査チェックリスト
- 内部監査報告書
- 教育実績表
- 事業継続計画・結果
- 不適合(インシデント)是正処置報告書
- マネジメントレビュー議事録 など
詳しい審査前の準備についてはこちらの記事で詳しく解説しています
4.ISMSの審査にかかる費用
審査費用は審査機関によって異なります。
文中に記載している金額は目安であり実際と大きく異なる場合もあります。
また、一次審査+二次審査+ISO登録料の合計で、審査員の交通費・宿泊費は含まれていません。
⑴初回審査費用の相場(※概算)(1年目に発生)
| 従業員数 | 費用 |
|---|---|
| 1~10名 | 535,000円 |
| 11~25名 | 640,000円 |
| 26~45名 | 880,000円 |
| 45~65名 | 1,020,000円 |
| 66~85名 | 1,090,000円 |
| 86~125名 | 1,240,000円 |
⑵維持審査費用の相場(※概算)(毎年発生)
| 従業員数 | 年間費用 |
|---|---|
| 1~10名 | 210,000円 |
| 11~25名 | 290,000円 |
| 26~45名 | 340,000円 |
| 45~65名 | 440,000円 |
| 66~85名 | 440,000円 |
| 86~125名 | 480,000円 |
⑶更新審査費用の相場(※概算)(3年ごとに発生)
| 従業員数 | 更新審査費用 |
|---|---|
| 1~10名 | 400,000円 |
| 11~25名 | 470,000円 |
| 26~45名 | 600,000円 |
| 45~65名 | 670,000円 |
| 66~85名 | 790,000円 |
| 86~125名 | 840,000円 |
5年目以降も、毎年の維持審査費用と3年ごとの更新審査費用が発生します。
ISMS認証取得にかかる費用はこちらの記事で詳しく解説しています。
5.審査に落ちないためには
基本的に審査に落ちることはありませんが、
ISOの審査を受けられなかったり審査に落ちてしまったり、ISMS(ISO27001)が認証できないケースも稀にあります。
ISMS(ISO27001)の認証ができないのは、
- ISMSの構築ができていない
- 内部監査を実施していない場合
- マネジメントレビューを実施していない場合
- 審査の費用を支払わない場合
- 審査の不適合に対応しなかった場合
の5つです。
また、認証範囲を拡大した場合などは、新しく範囲に入れたところの運用ができているかどうかは審査員もよく確認しますので、特に注意が必要です。
まとめ
ISMSの審査について主に新規認証取得にフォーカスし解説しました。
【ISMSの審査の種類は3つ】
- 新規認証時の審査初回(一次審査・二次審査)
- 維持審査(サーベイランス審査・定期審査)
- 更新審査(再認証審査)
新規認証時の初回審査には、一次審査(文書審査)と二次審査(現地審査)の二つのステップがあります。
一次審査では、作成したISMSの規程やマニュアルなどが要求事項を満たしているかを確認し、二次審査では、審査員が現場を訪問して、文書通りにISMSが運用されているかを評価します。
【認証取得までの期間と流れ】
ISMS認証を取得するには、準備期間も含めて約6ヶ月〜1年かかり、
そのうち、審査にかかる期間だけでも3〜4ヶ月は見ておく必要があります。
認証取得までの大まかな流れは以下のとおりです。
①申請:審査機関を選定し、申請を行います。
②一次審査(文書審査):文書がISO27001の要求事項を満たしているか確認します。
③二次審査(現地審査):現場でISMSが有効に運用されているかを確認します。
④不適合の是正:審査で指摘された点を改善します。
⑤認証取得
【審査に必要な準備物と費用】
審査には、ISMSのルールを定めた「文書類」(ISMSマニュアル、方針など)と、ルールが実行された証拠となる「記録」(内部監査報告書、教育実績など)の2種類が不可欠です。
審査費用は、組織の規模や従業員数によって変動し、「初回審査費用」「維持審査費用」「更新審査費用」の3種類が発生します。審査機関によって異なるため、相見積もりを取ることが重要です。
審査に落ちないためのポイントとして、ISMS認証ができない主な原因は、「内部監査やマネジメントレビューを実施していない」「審査の不適合に対応しない」といった点です。
これらを確実に実行することが大切です。計画的にISMSの運用を行いましょう。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.