2023年11月24日
ISMS認証機関の賢い選び方|重要な3つのポイント
ISMSの認証機関(審査機関)は国内に60社ほど存在しているため、どこを選べばいいか迷う方が大半です。
ISMS認証機関選定のポイントは3つ。①審査費用が適切か②自社の要望に合わせた対応が可能か③対応のスピードです。
押さえるべき3つのポイントを理解してから、認証機関を選定しましょう。
2024年3月8日
ISMS(ISO27001)の取得には、早くて6か月、長くて1年程度かかり、大きく7ステップで考えると良いです。ISMSを取得することで顧客の要求を満たせたり、入札に参加できるようになる等の大きなメリットがあります。情報セキュリティを強化したい方は、ISMSの認証取得を検討してみましょう。
目次
企業・組織として管理すべき情報でも、重要性は異なってきます。また、ルールや基準がなければ行動することもできません。
基準を作るべきは、ただソフト面の体制だけではありません。ハード面や社員が取ってはいけない行動等もルール・基準として定めていく必要があります。
このように、ハード面・ソフト面の観点からリスク対策を行い、また情報を使いやすい体制に整備していく必要があります。
詳しくは以下をご参照ください。
ISMS(ISO27001)認証を取得すると、以下のメリットがあります。
行政や自治体の仕事を受けるための入札条件に、ISMS認証を取得していることが条件となっている場合が多くなっています。
ISMSを取得することで、事業拡大や売上向上を目指せる等といったメリットがあります。
ISMSを認証している組織は情報セキュリティに関する一定の基準をクリアしている企業として外部へセキュリティの信頼性をアピールすることができます。
第三者からの客観的な評価になるので顧客や外部業者から信頼を得ることができます。
しかしISMSを認証しているからといってセキュリティレベルが非常に高いということをアピールするものではありません。
ISMSを認証、維持していくために、従業員への教育、方針の策定、役割の認識等を実施する必要があります。
そのため、ISMS認証を取得する組織ではセキュリティ意識が向上します。
ISMS取得の流れはPDCAサイクル(Plan-Do-Check-Act)の考え方に基づいて進み、キックオフから取得完了まで早くて6か月、長くて1年ほどかかります。
Plan(計画):ISMS取得の目標を設定し、スケジュールを作成しリソースを確保する
Do(実行):情報セキュリティマネジメントシステム(ISMS)を構築し運用する
Check(評価):内部監査でISMSの運用状況を確認し、マネジメントレビューで経営層に運用状況を報告する
Act(改善):一次審査と二次審査を通じてISMSの構築と運用を確認し、必要な改善を行う
このような流れでISMSの認証を取得し、その適切な運用を維持します。
それぞれのステップについて細かく見ていきましょう。
ISMS取得のためには、まず計画を立てることが重要です。
計画では、まずは取得目的からISMSの認証範囲の決定や、いつまでに取得するのかといった目標を定めましょう。
また、取得までには審査費用等の費用がかかります。審査費用はもちろんのこと、社内で必要な設備やコンサルティング費用も考慮して予算を見ておくと良いでしょう。
上記を踏まえ社内責任者を選定し、プロジェクトチームとして活動を進めると良いでしょう。
次に、認証してもらう機関(審査機関)を選定します。認証機関は、ISMSの基準を満たしているかを審査し認証を行います。
認証機関によって審査費用や審査の進め方に違いがあるため、組織に見合う認証機関を選定しましょう。
認証機関の選定後、情報セキュリティマネジメントシステム(ISMS)を構築します。
ISMSの規格要求事項に合わせて社内ルールを策定しましょう。
これには、情報セキュリティポリシーの策定・リスクアセスメントの実施・リスク対策の選定と実施などが含まれます。
実際にISMSの運用を行います。
(3)で定めた社内ルールに基づいて業務を行います。
ISMSの運用状況を確認するために、内部監査を行います。
また、マネジメントレビューで経営層にISMSの運用状況を報告します。
一次審査では、文書フォーマットの確認を中心とした審査が行われます。
ISMSの関連文書(マニュアル等の規程類)が適切に整備されているかが確認されます。
二次審査では、ISMSの関連文書に沿って実際の運用状況が確認されます。
一次審査で確認した書面上のルールが実際に機能しているのか、従業員がルールを守っているのかがチェックされます。
審査を通過すると、ISMSの認証を取得できます。
認証取得後も、定期的な審査を受けることで、ISMSの適切な運用を維持します。
ISMS認証取得にかかる費用は、大きく分けて以下の2つに分類されます。
新規取得の場合は一次審査と二次審査の費用がかかります。
認証取得後も、定期的な監査(サーベイランス)が必要となります。これにかかる費用も考慮する必要があります。
どちらも認証機関や認証範囲によって変わりますが年間で数十万円から数百万円程度が一般的です。
ISMSの構築や運用、内部監査などにかかる人件費や教育費、コンサルティング費用なども考慮する必要があります。
これらの費用は、企業の規模や業種、認証機関の選定、ISMSの構築状況などにより大きく変動します。
そのため、具体的な金額を出すのは難しいですが、全体として数百万円程度が目安となるでしょう。
詳しくは以下をご参照ください。
どちらの認証も重要になるため、組織ごとにどちらが適しているかを判断していきましょう。
違いを表にまとめます。
規格 | ISO27001 | Pマーク |
---|---|---|
対象事項 | 情報資産全般 | 個人情報のみ |
グレード | 国際規格 グローバル視点で評価に値する | 国内規格 |
審査の違い | ■簡単 ①審査時に、「広く・浅く」見られる ②リスクに応じて対策が打てる、 ルールに自由度有 ③ 認証範囲を選べる (全社・事業部・拠点等)④審査機関すべて価格が違う=競争原理ある ⑤審査日数が対象人数に応じて変わる ⑥コンサルタントの審査立会が可能 | ■難しい ①審査時に 「狭く・深く」 見られる②個人情報保護を基準に平均的なリスク対策が必要 ③ 組織全体で認証 ④審査機関すべて価格が同じ= 競争原理なし ⑤審査が1日で終わる ⑥審査は従業員のみが立会可能 |
審査の頻度 | 3年に1回更新 審査は毎年1回以上 | 2年に1度 |
取引要件として | ISO27001が取引要件= ×Pマーク | Pマークが取引要件= 〇ISO27001認証 |
ISO27017とは、クラウドセキュリティに関するISOのことです。
ISO27017を取得したい場合、先にISO27001(ISMS)を取得しておくか、ISMSとISO27017を同時に取得する(アドオン規格)必要があります。
取得するメリットとしては、セキュリティ体制の対外的アピールができたり、官公庁入札、大手クライアントの仕事請負/口座開設ができたりするなどのメリットがあります。
取得するべき組織は、クラウドサービスの提供をしている組織です。
一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業が対象となります。
ISMS(ISO27001)取得の流れは7ステップです。
自社のみのリソースで取得を目指すと約1年ほどかかるでしょう。コンサルティング会社の支援を受けると6か月ほどで取得できるでしょう。
ISMS(ISO27001)取得には以下のようなメリットがあります。
Pマークとの違いを理解し、審査方法や審査にかかるコストを把握し、適切な認証を受けるようにしましょう。
クラウド関連のサービスを提供している組織は必要に応じISO27017の取得も検討するとよいでしょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください