情報セキュリティを適切に運用する、ISMSの審査についてご存じですか?
ISMSの認証を取得するためには、審査機関による審査を受ける必要があります。
今回の記事では、
- ISMSの審査について知りたい
- 審査の流れやポイントが分からない
- 不適合になったらどうすればいいの?
という方に向けて、ISMSの審査の流れや、不適合になった場合の対処について解説していきます。
目次
ISMSの審査とは?
ISMSの認証を取得するためには、審査機関による審査を受ける必要があります。
審査を受ける前に、費用やスケジュールについて考えておきましょう。あらかじめ準備をしておくことで、審査をスムーズに受けることができます。
ここでは、
- ISMSの審査の種類
- 審査にかかる期間
- 審査にかかる費用
について解説していきます。
審査の種類
ISMSの審査は1つではなく、
- 取得時の審査
- 維持審査
- 更新審査
の3つがあります。
1つずつ見ていきましょう。
取得時の審査
取得時の審査は、ISMSを取得する際、最初に受ける審査です。
また、この記事で主に解説する審査です。
この審査には、一次審査と二次審査があります。
詳しい流れについては、後ほど解説します。
維持審査
維持審査は、前回の審査をしてからの運用状況などを確認する審査です。
この審査は認証取得後、1年ごとに行われます。
審査の目的は、ISMSが適切に運用されていることをチェックする、ということです。
次に紹介する更新審査よりも、審査員が少なく、審査期間も短いことが多いです。
更新審査
更新審査は、前回の更新時から3年分の運用状況を確認する審査です。
ISMSの認証は有効期限が3年なので、この審査は3年ごとに行われます。
審査の目的は、前回の更新から変更された部分の確認や、3年間の運用を確認し、問題がないことをチェックすることです。
更新審査は、維持審査よりも厳しくチェックされるので、不適合や指摘が増えることがあります。
審査にかかる期間
ISMSの審査には、3~4ヵ月かかります。
申し込みから審査を行うまでに約1ヵ月、一次審査と二次審査に約1ヵ月、審査から認証を取得するまでに約1ヵ月かかる、という流れです。
ISMSを取得するためには、審査を受ける前にISMSを構築・運用する必要があります。
そのため、審査の期間だけで認証を取得することはできません。
一般的に、ISMSの構築から審査を受けるまでに、約1年かかることが多いです。
かなり長い時間が必要になるので、そのつもりでスケジュールを立てましょう。
コンサルタントに依頼することで、認証を取得するまでの期間を短くすることも可能です。
審査にかかる費用
ISMSの審査には、時間だけでなく費用もかかります。かなりの費用がかかるので、予算の調整などは早めに済ませておきましょう。
ISMS認証の取得にかかる、主な費用は次の通りです。
- 一次審査の費用
- 二次審査の費用
- 登録料
- 審査員の交通費・宿泊費
費用は、会社の規模や業種、審査機関などによって異なりますが、
- 1人~10人規模の場合、55万円程度
- 11人~25人規模の場合、65万円程度
- 100人以上の規模の場合、100万円以上
という金額が目安になります。
また、ISMSの構築や認証までの流れを、自分たちの会社ですべて行うかどうか、ということも費用に影響します。
コンサルタントに依頼する場合、上記の金額に加え、数万円~数百万という費用がかかります。ISMSの取得にかけられる予算や時間などに応じて、コンサルタントへの依頼を検討してもいいでしょう。
ISMSの審査の流れ
ISMSの審査は、次のような流れで進みます。
- 申し込み
- 一次審査
- 二次審査
1つずつ見ていきましょう。
申し込み
ISMSの審査を受けるためには、まず審査機関を決め、見積もりを依頼する必要があります。これは、審査するISMSの規格は同じでも、各審査機関によって費用が異なるからです。
見積もり依頼には、組織の規模や業務内容などの情報が必要です。審査機関は、それらの情報をもとに審査費用の見積もりを算出します。速やかに提出し、審査をスムーズに進めるために、事前に準備しておきましょう。
審査機関によって、審査の際に重視するポイントが変わります。場合によっては、会社のISMSと相性が悪いこともあるので、依頼する審査機関は慎重に検討しましょう。
一次審査
一次審査は、どのようなルールを構築しているのか、という文書確認が中心です。
PDCAサイクルのP(計画)の部分を重点的にチェックされます。
一次審査では、ISMSを構築する際に作った文書が必要になります。例えば、適用宣言書やルールが記載されたガイドラインなどです。
審査当日は、
- 審査の説明
審査基準や審査方法の説明など
- トップインタビュー
情報セキュリティ方針のポイントやISMSを取得するきっかけなど
- ISMSを運用する体制の確認
適用範囲や文書が適切に作成されているかなど
- クロージング
審査員による総評
という流れで進みます。
二次審査
二次審査は、構築したルールが適切に運用されているか、という確認を現場で行うものです。
PDCAサイクルのD(運用)やC(評価)が実施されていて、A(改善)も実施済み、もしくは改善する計画が立てられているか、ということをチェックされます。
審査当日の流れは次の通りです。
- 審査の説明
審査基準や審査方法の説明など
- 運用状況の確認
内部監査の結果やマネジメントレビューの確認など
- 現場の状況を確認
現場でISMSが実際に運用されているかの確認など
- クロージング
審査員による総評
二次審査が終わると、ISMSの認証を取得することができます。
審査で確認されること
審査において、審査員が確認したいことは、規格に従ってルールが適切に運用されているかどうか、ということです。
トップが決めた方針を従業員が理解し、実行するためにはリーダーシップが必要不可欠です。そのため、審査の質問は基本的にトップダウン型で行われます。
ここでは、審査で確認されることについて、詳しく解説していきます。
審査では、主に次の3つのことが確認されます。
- トップインタビュー
- 管理責任者へのヒアリング
- 部門ごとのヒアリング
トップインタビュー
ISMSを構築する際の指示の記録や、決定事項が記載された文書などを参考に、トップマネジメントへのインタビューが行われます。
ここでは、具体的な業務の内容というより、戦略や方針といった組織の方向性を確認することが多いです。
また、トップマネジメントからの情報をもとに、現場の様子も確認します。
管理責任者へのヒアリング
ISMSの改善状況や、トップマネジメントに確認したことについてヒアリングが行われます。
ここでは、ISMSの運用に関して、具体的な内容を確認できます。
- 認証ロゴマークの取り扱い
- ISMSを評価する方法
- 情報セキュリティリスクアセスメントの手順
- ISMSの適用範囲
などについて、理解を深めておきましょう。
部門ごとのヒアリング
ISMSにおける役割や、指示を受けてからの動きについてヒアリングが行われます。
ここでは、構築したルールやマニュアルが、実際にどんな風に運用されているか、ということを確認します。
実際の業務の中で、ISMSが適切に運用されている必要があります。
例えば、
- どのように業務を行っているか
- どのように情報が取り扱われているか
- 現場にISMSは浸透しているのか
などが質問されます。
各ヒアリングにおいて、審査員が何を目的としているか、ということを理解し、準備をしておきましょう。
審査に落ちることはある?
ISMSの審査は、適切に取り組んでいれば、基本的に審査で落ちることはありません。
しかし、次のような状態で審査を受けると、不合格になる可能性があります。
- ISMSの構築が不十分
ISMSを運用できていない、情報セキュリティ方針を決めていない、内部監査を実施していない、など - 大きなセキュリティ上のトラブルが発生した
- 審査を妨害したり、審査に非協力的である
- 審査の費用を支払っていない
- 審査の不適合に対応していない
また、認証範囲を広げた場合、更新審査などで新しく範囲に入れた部分の運用ができているかどうか、審査員はよく確認するので、特に注意しておきましょう。
ISMSの審査では、規格に従ってISMSが構築・運用できているか、ということを確認します。そのため、会社の売り上げやISMSの適用範囲外の業務内容が審査に影響を及ぼすことはありません。
審査終了後にやること
ISMSの審査では、
- 規格では必須とされていることができていない
- ルールを守って運用していない
と判断されると、不適合となり対応を求められることがあります。
しかし、不適合や指摘がない組織の方が少ないので、改善するべきところを見つけてもらえるチャンスだと、ポジティブに捉えましょう。
不適合には、
- 軽微な不適合
- 重大な不適合
の2つがあります。
軽微な不適合
軽微な不適合となるのは、要求事項の一部を満たしていないと判断された場合です。ISMSを根本から見直す必要はなく、条件を満たしていない部分を是正します。軽微な不適合と判断された場合でも、審査が中断されることはないです。
不適合に対応するための計画書を作り、期日までに審査機関へ提出しましょう。1年後の維持検査までに、是正処置を行えば問題はありません。
重大な不適合
重大な不適合となるのは、ISMSに大きな問題があると判断された場合です。軽微な不適合とは異なり、審査を続けることが難しいので、中断となることもあります。
しかし、重大な不適合と判断された場合でも、ISMS認証が取得できないというわけではありません。
指摘された部分に対して是正処置を行い、処置が適切であるかを確かめるための再審査を受けることで、認証を取得することができます。
是正処置は、指摘事項文書が発行されてから3ヵ月以内に対応しなければ、不認定となってしまいます。早急に対応するようにしましょう。
まとめ
今回の記事では、ISMSの審査の流れや、不適合になった場合の対処について解説してきました。ISMS認証の取得にはコストがかかるので、審査のポイントを把握し、スムーズに審査が行われるように準備しましょう。
ISMSの審査について、何か分からないことがあれば、オプティマ・ソリューションズへ、お気軽にご相談ください!
