近年、企業が取り扱う情報の形式は多様化しています。そのため、適正に情報の取り扱いをしていることを示せるISMSの取得を目指す企業も増え続けています。
今回は、ISMSの取得を検討している方に向けて、そもそも審査にはどのようなものがあるのかと、取得までの大まかな流れをご紹介いたします。
また、ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
- ISMSの審査は3種類
- ISMSを取得する際の審査の流れは?どこを見られる?
- ISMSの取得審査にかかる費用や期間は?
- ISMS取得を徹底的にサポート!
目次
ISMSの審査は3種類
ISMSには3種類の審査があります。まずは、それぞれの審査について、簡単にご紹介したいと思います。
取得審査
※登録審査や初回審査と呼ばれることもありますが、今回は取得審査とします。
取得審査とは、その名のとおりISMSの資格取得に関わる審査で、これをクリアすると晴れて認証登録されることとなります。
取得審査は一次審査と二次審査に分かれていて、一次審査はマネジメントシステムにおける文書の確認がメインとなる文書審査です。構築したルールが要求事項に適合しているか、そしてそれがきちんと運用されているかどうかを確認されます。一次審査を終えてから二次審査に入りますが、二次審査は審査員が実際に現場を訪問して、適正に運用されているかを確認する現地審査となります。その場の状況にもよりますが、改善点がある場合には、審査員の目線でアドバイスをもらえる可能性もあります。
維持審査
ISMSは認証取得から3年間の有効期限が設けられていますが、取得から時間が経過しても有効にマネジメントシステムが運用されているかどうか、1年ごとに維持審査を受けて確認します。つまり、取得後は毎年何かしらの審査を受ける必要があります。
ただし、維持審査はすべての工数を確認するわけではなく、取得審査と比べて60~70%程度の工数を審査するため、費用も取得審査に比べて割安となるのが一般的です。
更新審査
名称のとおり、取得審査から3年間の有効期限が切れるタイミングで行われるのが、更新審査です。維持審査とは異なり、取得審査から3年間のすべての運用記録の提出が必要となるため、工数や時間が取得審査と比べて多くなるケースもあります。
審査の結果、万が一規格具適合となってしまった場合には、是正措置が言い渡されます。この是正措置は、認証の有効期限が切れてしまうと登録審査からやり直しとなるので、有効期限に間に合うようスケジューリングする必要があります。
ISMSを取得する際の審査の流れは?どこを見られる?
ISMSは、4つの段階を通して取得します。
①審査機関の選定
まずは、審査機関の選定です。審査機関として認証されているのは、各国に存在する認定機関からISO審査の許可をもらった機関だけで、日本国内では70社程度あります。
ISMSを取得する際、この審査機関の選定は非常に重要となります。なぜなら、機関ごとにISMSの審査で重視するポイントが異なってくるからです。
審査機関はISO27001の規格に対して、ISMSが適切に運用されているのかをチェックしますが、判断のポイントは各審査機関に委ねられているため、自社に合った最適な審査機関を選べるかどうかがカギとなります。特に価格は、審査機関によって設定はまばらで、2倍以上の差が出てしまうケースも珍しくありません。まずはいくつか候補を決めてから、それぞれの条件をしっかりと見比べるようにしましょう。
②申込み
審査機関の選定を終えたら、いきなり申込みをするのではなく、まずは見積もりを取る必要があります。ISMSの費用を正確に計算するためには、企業情報の収集が不可欠です。スムーズに取得をするには、審査機関から求められる書類を速やかに提出することも大事です。
審査機関は、会社の規模や業種などの企業情報に基づき、見積もりを作成するので、内容に問題がなければ、審査機関と契約を交わして申込みは完了となります。
③一次審査
一次審査は、おもに文書確認となりますが、トップにマネジメントインタビューを行うケースもあります。一次審査の終了後、審査員による評価説明を受け、指摘された問題点があれば改善しましょう。
④二次審査
一次審査とは異なり、二次審査は決められたルールが正しく実行されているのか、現場で確認をします。二次審査も、審査を終えたあとに審査員が総評を述べて完了となります。
申込み→一次審査→二次審査の順にクリアしていけば、晴れてISMS認証の取得です。
ISMSは、必要な書類を揃えて正しい順序で審査を受ければ取得できるというわけではなく、審査に落ちてしまうケースもあります。そうならないよう、審査ではどこを見られるのか、ポイントを押さえておくと安心です。
■PDCAサイクルが回っていない
PDCAサイクルとは、Plan・Do・Check・Actionを順番に繰り返すサイクルのことで、ISMS審査におけるPDCAサイクルの不備は、リスクアセスメントや内部監査、マネジメントレビューなどの必要な手続きを取っていないケースが該当します。
■審査妨害や審査に非協力的な態度をとる
レアケースではありますが、現地で審査が行われる際、審査妨害をしたり審査に非協力的な態度をとったりすると、審査に落ちてしまうことがあります。審査員が通常の審査を実施できないと判断した場合には、審査が途中で打ち切られることもあるので、注意が必要です。
■大規模な情報セキュリティインシデントの発生
ISMSの審査中に、大規模な情報セキュリティインシデントが発生した場合も、審査落ちとなる可能性があります。しかし、一度大きなインシデントが発生してしまったら、ISMS取得の道が断たれるかというと、そうではありません。一定期間後に再審査を受ければ、ISMS認証の取得が可能です。
ISMSの取得審査にかかる費用や期間は?
ISMSの取得審査にかかる費用は会社の規模によって異なりますが、一般的な相場は50万~100万円程度です。
費用内訳
- 一次審査費用
- 二次審査費用
- 登録料
- 審査員の交通費・宿泊費(必要に応じて)
自社取得の場合には、上記の費用に加えて人件費がかかり、コンサルに依頼した場合には、コンサルティング依頼料がかかります。コンサルティング依頼料は年間で45~150万程度となりますが、社員の工数を大幅に削減できるため、メリットは大きいと考えられます。
期間
ISMSの審査にかかる期間は、おおよそ3か月~4か月ほど。
申込みから審査まで、一次審査と二次審査、審査終了から認証取得が、それぞれ約1か月と考えておくと良いでしょう。しかし、これはあくまでも審査のみの期間で、情報セキュリティのシステムを構築するところからカウントすると、10か月~12か月程度必要だと考えてください。ただし、この期間はコンサルタントに依頼をすれば、短縮できる場合もあります。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速く、短期取得(約6か月)のサポートができる
- 3万円/月~の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-ラーニングツールを無料提供している
弊社ではPマークの取得をするのと同時に、御社の情報セキュリティの水準アップが実現できるように全力でサポート致します。
お客様の情報セキュリティの水準がアップすることで、安心、安全を達成し、お客様が本業にまい進していただける状態を作ることを理想と考えているからです。
これからPマークを取得される事業者様はぜひ、お気軽にご相談下さい。
