ISMS取得を考えるようになり周辺情報を調べ始めると、「ISMS-AC」という認定機関について目にする機会もあることでしょう。ISMS取得のためには審査機関から審査サービスを受ける必要があることは知られていますが、このISMS審査機関についてはよく理解していないという方も多いのではないでしょうか。
そこで、この記事では、
- ISMS-ACについて
- ISMS-ACが認定している審査機関とそれ以外の審査機関
- JIPDECとの違い
といった点について解説します。
また、以下の記事では、ISMSを取得する取得するメリット・デメリットと事例についてご紹介しています。本記事と合わせてご覧ください。
目次
- ISMS(ISO27001)とは
- ISMS-AC(情報マネジメントシステム認定センター)とは
- ISMS-ACによる認定について
- ISMS-ACによる認定がある審査機関
- ISMS-ACによる認定のない審査機関
- ISMS-ACとJIPDECとの関係性
- まとめ
- ISMS取得のご相談ならオプティマ・ソリューションズへ!
目次
ISMS(ISO27001)とは
ISMSとは、Information security management systems(情報セキュリティマネジメントシステム)の略です。そしてISO27001は、情報セキュリティにおけるマネジメントシステムの国際規格です。
ISMSにおける「情報セキュリティ」は、セキュリティレベルの高さではなく、重視されるのは「機密性」「完全生」「可用性」の3要素を維持することと定められています。
では、「マネジメントシステム」とは具体的にどのようなことを指すのでしょうか。
これは端的にいうとPDCAサイクルを回す仕組みのことで、ISMS(ISO27001)を認定された企業は、情報を守るためのPDCAを回す仕組みができていると認められたということになります。
つまり、ISMS(ISO27001)において求められるのは、自社に必要なセキュリティレベルを定め、情報の機密性・完全性・可用性を管理・維持することによって、適切なシステム運用を行うこととなります。
ISMSについての詳細な説明は、以下の記事をご参照ください。
ISMS-AC(情報マネジメントシステム認定センター)とは
ISMS-ACとは「ISMS Accreditation Center」の略で、正式名称を「一般社団法人 情報マネジメントシステム認定センター」といいます。日本国内において、ISMS認証制度(正式名称:ISMS適合性評価制度)を運営している団体です。
このISMS-ACは「認証機関」とされており、ISMS-AC自体が審査を行うのではなく、審査する機関を「認定する」役割を果たしています。ISMSは、第三者の認定機関によって審査されることにより、客観的で公平な視点にて、規格に沿った情報セキュリティへの取り組みを示すことができるシステムです。また、ISMS-ACは「ISMS適合性評価制度」のほか、以下の認証を行う審査機関を「認定」しています。
- ISMSクラウドセキュリティ認証
- ISMS-PIMS認証
- ITSMS(ITサービスマネジメントシステム)適合性評価制度
- BCMS (事業継続マネジメントシステム)適合性評価制度
- CSMS (サイバーセキュリティマネジメントシステム)適合性評価制度
- IMS要員
ISMS-ACによる認定について
2024年7月現在、27の機関がISMS-ACによって審査機関として「認定」されています。
ISMS認証については、ISMS-ACによって認定された上記機関以外の機関でも受けることができますが、それぞれのメリットについて見ていきましょう。
ISMS-ACによる認定がある審査機関
ISMS-ACによる認定がある審査機関でISMSの審査を受けることで、以下のようなメリットがあります。
・ISMSロゴが使用できる
ISMS-ACから認定された審査機関の審査を受けることで、ISMSロゴマークを使用することができます。名刺やwebサイトなどに掲載できるので、取引先や顧客などの信頼確保や、企業イメージの向上につながることが期待できるでしょう。
ロゴマークの使用には厳密なルールがあるので、審査機関から配布される注意書きをよく確認する必要があります。たとえばISMSロゴを名刺に使用する際の注意点は、以下の記事にまとめていますのでご参照ください。
・ISMS認証取得組織検索に掲載される
ISMS-ACの公式サイトにて、ISMS認証を取得している企業を検索することができます。これは、ISMS-AC認定の審査機関から審査を受けた企業のみが社名・組織名を掲載することができるもので、それ以外の審査機関からの審査を受けた場合は、ISMS認証取得組織検索への表示はされません。
ISMS-ACによる認定のない審査機関
ISMSの審査サービスを規制するための法律は、日本には存在していません。ですので、ISMS-ACの認定を受けていない審査会社でも、日本ではISMSの審査サービスを提供することが可能です。その場合、以下のようなメリットが考えられます。
・審査時間が少なく、費用が安いことがある
ISMS-ACの認定を受けていない審査機関は、いいか悪いかは別として、審査に柔軟性をもたせることが可能です。つまり、審査機関によっては、審査をより短期間に、また低費用にて審査サービスを提供していることもあります。
・海外の認定機関から認定を受けている審査会社もある
ISMS-ACの認定を受けていないというと、信頼できるのだろうかと心配になりますが、審査会社によっては、海外の認定機関から認定を受けているケースも多くあります。自社でISMS取得を考え始めると、どの審査機関に審査サービスを依頼するかも気になりますが、その審査機関がどこの認定を取得しているかも視野に入れて検討するようにしましょう。
ISMS-ACとJIPDECとの関係性
ISMSの認証、そして認証を行う団体の認定は、2017年はJIPDEC(一般財団法人日本情報経済社会推進協会)が行なっていました。しかしその後、「認定機関としての独立性を明確にし、引き続き客観性及び公平性のある認定活動を推進」する目的で、ISMS関連の専門機関としてISMS-ACが設立されたという経緯があります。そして現在は、JIPDECではPマーク(プライバシーマーク)の認定を行い、ISMS-ACではISMS認証機関の認定などを行なっているという状況です。
PマークとISMSの違いについては、以下の記事にまとめていますのでご参照ください。
まとめ
この記事では、ISMS-ACについての説明や、ISMS-ACが認定している審査機関とそれ以外の審査機関について、JIPDECとの関係性についてまとめました。ISMS取得を考えるにあたって、どの審査機関から審査サービスを受けるかも検討事項のひとつとなりますが、その際の基礎知識として念頭に置いていただければ幸いです。その他にも、ISMS取得にあたって事前に仕入れておきたい知識はさまざまです。
ISMS取得の期間やスケジュールについては、以下の記事で解説していますのでご参照ください。
ISMS取得のご相談ならオプティマ・ソリューションズへ!
弊社では数多くのお客様のISMS取得や更新のお手伝いをしております。弊社は下記のような特長を持っています。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
- コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していただけることを心掛けている
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、 親身に寄り添いながらサポートするのが当社のコンサルティングです。創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、 ぜひご覧になってください。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
