2023年11月21日
ISMS適合性評価制度とは?概要をわかりやすく解説
ISMS適合性評価制度は、情報セキュリティマネジメントシステム(ISMS)が適切に運用されているかを評価・認証する制度です。企業が情報資産を適切に管理し、情報セキュリティ対策を実施していることを証明するための重要な手段となります。この制度を通じて、企業は情報セキュリティの信頼性と透明性を向上させることができます。
2023年3月3日
ISMSの審査は滅多に落ちることはありません。ISMSの審査は落とすためのものではなく、組織のセキュリティ体制を見直す改善の機会だと捉えるとよいです。審査は3種類あり、見るポイントも異なるので、しっかり把握して準備しましょう。
ISMSの審査は大まかに5つのステップで進みます。
新規取得する場合や、これまでと異なる認証機関で受審する場合は申請が必要です。
申請方法や申請時の準備物は認証機関によって異なるため、詳細は各認証機関のHPを確認しましょう。
認証機関側で申請書類を確認し、審査費用や審査工数(審査員の人数や審査日数)を算出します。
提示された審査費用と工数で問題がなければ、審査や認証登録のための業務契約・秘密保持契約を締結します。
組織と認証機関との間で、審査日程の確認を行います。
メール上でのやり取りがほとんどです。
新規認証の場合は、1次審査、2次審査の2回に分けて行われます。
維持審査や更新審査の場合は、数日かけて行う場合もあるものの、審査工数に合わせて1回で行われます。
認証機関側で認証判定会議が行われ、認証登録の最終チェックをします。
その後、認証書が発行され無事登録(又は更新)完了となります。
大まかな流れは以上ですが、大前提として申請までにISMSを構築する必要があります。
申請までのISMSの構築や取得全体の流れについては以下の記事をご覧ください。
ISMS(ISO27001)の審査には新規認証時の審査、更新審査と維持審査の3種類があります。
ISMS(ISO27001)は、認証後も毎年審査が行われ、3年後の有効期限を更新するための更新審査、それまでに受けるのが維持審査です。
名称 | 初回審査 | 定期審査 サーベイランス審査 | 再認証審査 |
審査内容 | ISMSを認証取得させて問題ない組織かどうかを確認する | 前回審査をしてからの運用状況を確認する | 前回更新時から3年分の運用状況を確認する。 |
審査の目的 | 一次審査:文書フォーマットの確認 二次審査:実際の運用状況を確認する。 | 問題なく運用が続けられているかどうかを確認すること | ISO認証の更新に問題はないかを確認すること 前回の更新からの変更事項や3年単位での運用が問題ないかどうかを確認すること |
審査の工数 | 1次審査と2次審査は必ず分けて実施され、約1か月の間がある | 更新審査よりも審査員または審査期間が少ないことが多い | 維持審査よりも審査員または審査期間が増えることが多い |
このように、3つの審査の中では初回審査が1番工数がかかります。
ISMSの関連文書や実際の現場の様子も細かくチェックされるため、不適合や推奨事項は必ず出るものだと思っておくとよいでしょう。
また、更新審査では、維持審査と比べると審査員数や審査期間も多くなることがあります。
維持審査と違って不適合が増えたり、今まで言われたことのない指摘が出る可能性があるので、注意が必要です。
審査を受けるには運用記録が必要です。維持審査は1年分、更新審査は3年間分です。
ISMS(ISO27001)の場合は次の7つの記録の他、現場で運用されている作業記録やセキュリティについて記録しているもの等が見られます。
ISMS(ISO27001)の審査は次のように行われます。
オープニングミーティング
↓
トップインタビュー
↓
現場視察(セキュリティ範囲の確認)
管理責任者へのヒアリング
前回審査の観察事項についての対応確認
↓
それぞれの部署へのヒアリング
↓
クロージングミーティング
大まかな流れでは維持審査でも更新審査でも同じですが、更新審査では最初に登録内容について再確認されますし、管理責任者や各部署へのヒアリングはより多くの時間を取って行われます。
前述した通り、ISMS審査は毎年行われ、その都度費用がかかります。
審査費用は審査工数によって決まります。
それぞれの審査では審査工数が異なるため、審査費用に関しても違いがあります。
審査費用の概算
人数/年 | 初回(新規) | 2年目(維持) | 3年目(維持) | 4年目(維持) |
---|---|---|---|---|
1 ~ 10 | 590,000 | 270,000 | 270,000 | 435,000 |
11 ~ 15 | 750,000 | 310,000 | 310,000 | 540,500 |
16 ~ 25 | 822,000 | 370,000 | 370,000 | 585,000 |
26 ~ 45 | 1,030,000 | 440,500 | 440,500 | 700,000 |
46 ~ 65 | 1,190,000 | 540,000 | 540,000 | 780,000 |
66 ~ 85 | 1,380,500 | 590,000 | 590,000 | 910,000 |
86 ~ 99 | 1,440,000 | 630,000 | 630,000 | 1,000,000 |
100 ~ 125 | 1,613,500 | 700,000 | 700,000 | 1,140,000 |
審査が2回に分けて行われること、実際の現場の様子も細かくチェックされることから
1番費用がかかります。
新規取得費用に関しては、以下の記事もご覧ください。
https://ninsho-partner.com/isms/column/isms_shinki-shutoku-hiyou/
従業員数や拠点数、適用業務に大きな変化がない限り、2回の維持審査は同じ料金になります。
1年間の運用状況のみ確認されるため、審査費用も抑えられます。
3年間の運用状況が確認されるため、維持審査と比較すると費用は高くなります。
審査において審査員が「マネジメントシステムが成り立っていない」と判断した結果のことであり、
『メジャーな不適合』ともいいます。
主な例として内部監査やマネジメントレビューを実施できていない場合等が該当します。
審査中に重大な不適合が発見された場合、審査は一時中断となることもあります。
登録や更新が一旦保留とはなりますが、改めて再審査を受けて許可が下りれば認証まで完了させることができます。
審査で出る不適合の多くが、この軽微な不適合です。
審査において、審査員が「要求事項の一部を満たしていない」と判断した結果のことであり、マイナーな不適合ともいいます。
軽微な不適合が出た場合には組織のルールに基づいて是正処置を行うと同時に、審査機関のルールにも則った是正処置報告書を作成し審査員に提出する必要があります。
不適合ではなくとも審査員の注意点が報告される場合があります。
審査機関によって呼び方が変わるため、観察事項・推奨事項・改善の機会など様々な名称があります。
必ずしも対応する必要はありませんが、審査員の視点でのアドバイスとして捉え、対応が必要かを検討し、必要であれば処置を行うようにしましょう。
不適合は出ない方がいいという人の方が大半ですが、実は指摘を受けることで次の2つのような改善につながることがあります。
・業務やマネジメントで抱える課題や改善箇所を見つけてもらえる
・第三者からの指摘により従業員の意識の変化や強制力、ルールの再認識が図れる
指摘を受けない組織の方が少数派であること、改善すべきことを見つけてもらえるものとして指摘をポジティブに捉えてください。
指摘は出るものだとして、準備をし過ぎず、出た不適合について是正処置を行う時間に充てていきましょう。
ISOの審査を受けられなかったり審査に落ちてしまったり、ISMS(ISO27001)が認証できないケースも稀にあります。
ISMS(ISO27001)の認証ができないのは、
の4つです。
ですので、この4つは必ず実行するようにしましょう。
また、認証範囲を拡大した場合などは、新しく範囲に入れたところの運用ができているかどうかは審査員もよく確認しますので、特に注意が必要です。
ISMSの審査は、新規認証時の審査、更新審査と維持審査の3種類があります。
申請から認証取得(更新)完了まで5つのステップがあり、申請時の準備物は受審する認証機関によって異なるため、各認証機関のHPを確認するようにしましょう。
ISMSの審査は落とすための審査ではありません。
指摘を受けたとしても、組織のセキュリティ体制を見直す改善の機会だと捉え、業務の改善や組織の運用のヒントにしましょう。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください