オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身に情報セキュリティに関する様々な知識やコツを見に付けていただいて、皆様の会社自体が成長していただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

近年、企業が取り扱う情報の形式は多様化しています。そのため、適正に情報の取り扱いをしていることを示せるISMSの取得を目指す企業も増え続けています。
今回は、ISMSの取得を検討している方に向けて、そもそも審査にはどのようなものがあるのかと、取得までの大まかな流れをご紹介いたします。

また、ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。

コンサルタントが親身にサポート　ISMS取得支援◆お客様満足度99％
https://www.optima-solutions.co.jp/isms-acquisition

ISMSの審査は3種類

ISMSには3種類の審査があります。まずは、それぞれの審査について、簡単にご紹介したいと思います。

取得審査（登録審査、初回審査）

取得審査（登録審査、初回審査などと呼ばれることもあります）とは、その名のとおりISMSの資格取得に関わる審査で、これをクリアすると晴れて認証登録されることとなります。

取得審査は一次審査と二次審査に分かれていて、一次審査はマネジメントシステムにおける文書の確認がメインとなる文書審査です。構築したルールが要求事項に適合しているか、そしてそれがきちんと運用されているかどうかを確認されます。一次審査を終えてから二次審査に入りますが、二次審査は審査員が実際に現場を訪問して、適正に運用されているかを確認する現地審査となります。その場の状況にもよりますが、改善点がある場合には、審査員の目線でアドバイスをもらえる可能性もあります。

維持審査（継続審査、サーベイランス審査）

ISMSは認証取得から３年間の有効期限が設けられていますが、取得から時間が経過しても有効にマネジメントシステムが運用されているかどうか、1年ごとに維持審査（継続審査、サーベイランス審査などと呼ばれることもあります）を受けて確認します。つまり、取得後は毎年何かしらの審査を受ける必要があります。

ただし、維持審査はすべての工数を確認するわけではなく、取得審査と比べて40～50％程度の工数を審査するため、費用も取得審査に比べて割安となるのが一般的です。

更新審査（再認証審査）

名称のとおり、取得審査から3年間の有効期限が切れるタイミングで行われるのが、更新審査（再認証審査などと呼ばれることもあります）です。維持審査とは異なり、取得審査から3年間のすべての運用記録の提出が必要となるため、工数や時間が取得審査と比べて多くなるケースもあります。
審査の結果、万が一規格具適合となってしまった場合には、是正措置が言い渡されます。この是正措置は、認証の有効期限が切れてしまうと登録審査からやり直しとなるので、有効期限に間に合うようスケジューリングする必要があります。

維持審査と更新審査については以下の記事で詳しくまとめていますので、気になる方はこちらも併せてお読みください。

あわせて読みたい

ISMSの維持審査と更新審査に必要な準備と費用は？ ISMSの更新審査って、どんなことをするのか知りたい 維持審査や更新審査に、どのくらいの費用がかかるのか知りたい そのようにお考えの情報システム担当者も多いと思い...

ISMSを取得する際の審査の流れは？どこを見られる？

ISMSは、4つの段階を通して取得します。

①審査機関の選定

まずは、審査機関の選定です。審査機関として認証されているのは、日本の認定機関であるISMS-AC（情報マネジメントシステム認定センター）からISMS審査の許可された機関だけで30社程度あり、その他に海外の認定機関からの許可を得て国内で活動している審査機関もあります。

ISMSを取得する際、この審査機関の選定は非常に重要となります。なぜなら、機関ごとにISMSの審査で重視するポイントが異なってくるからです。

審査機関はISO27001の規格に対して、ISMSが適切に運用されているのかをチェックしますが、判断のポイントは各審査機関に委ねられているため、自社に合った最適な審査機関を選べるかどうかがカギとなります。特に価格は、審査機関によって設定はまばらで、2倍以上の差が出てしまうケースも珍しくありません。まずはいくつか候補を決めてから、それぞれの条件をしっかりと見比べるようにしましょう。

また、海外の認定機関からの許可を得て国内で活動している審査機関の場合には、青いISMSのマークが使えませんし、ISMS-ACのISMS取得事業者データベースで検索しても出てこないなどのデメリットもありますので、自社のニーズとマッチしているか、よく確認することをお勧めします。
（参照）ISMS認証取得組織検索データベース

②申込み（審査契約締結）

審査機関の選定を終えたら、いきなり申込みをするのではなく、まずは見積もりを取る必要があります。ISMSの費用を正確に計算するためには、企業情報の収集が不可欠です。スムーズに取得をするには、審査機関から求められる書類を速やかに提出することも大事です。

この時、直接審査機関に問い合わせるよりも、弊社のようなコンサルティング会社を通して見積もりを取得したほうが、割安な金額が出てくることが多いです。ここ、大事なところなので、見落とさないようにしてください。

審査機関は、会社の規模や業種などの企業情報に基づき、見積もりを作成するので、内容に問題がなければ、審査機関と契約を交わして申込みは完了となります。

③一次審査

一次審査は、おもに文書確認となりますが、トップにマネジメントインタビューを行うケースもあります。一次審査の終了後、審査員による評価説明を受け、指摘された問題点があれば改善しましょう。

④二次審査

一次審査とは異なり、二次審査は決められたルールが正しく実行されているのか、現場で確認をします。二次審査も、審査を終えたあとに審査員が総評を述べて完了となります。

申込み→一次審査→二次審査の順にクリアしていけば、晴れてISMS認証の取得です。

ISMSは、必要な書類を揃えて正しい順序で審査を受ければ取得できるというわけではなく、審査に落ちてしまうケースもあります。そうならないよう、審査ではどこを見られるのか、ポイントを押さえておくと安心です。

■PDCAサイクルが回っていない
PDCAサイクルとは、Plan・Do・Check・Actionを順番に繰り返すサイクルのことで、ISMS審査におけるPDCAサイクルの不備は、リスクアセスメントや内部監査、マネジメントレビューなどの必要な手続きを取っていないケースが該当します。

■審査妨害や審査に非協力的な態度をとる
レアケースではありますが、現地で審査が行われる際、審査妨害をしたり審査に非協力的な態度をとったりすると、審査に落ちてしまうことがあります。審査員が通常の審査を実施できないと判断した場合には、審査が途中で打ち切られることもあるので、注意が必要です。

■大規模な情報セキュリティインシデントの発生
ISMSの審査中に、大規模な情報セキュリティインシデントが発生した場合も、審査落ちとなる可能性があります。しかし、一度大きなインシデントが発生してしまったら、ISMS取得の道が断たれるかというと、そうではありません。一定期間後に再審査を受ければ、ISMS認証の取得が可能です。

ISMSの取得審査にかかる費用や期間は？

さて、気になる費用と期間を見ていきましょう。

費用内訳

• 一次審査費用
• 二次審査費用
• 登録料
• 審査員の交通費・宿泊費（必要に応じて）

ISMSの取得審査にかかる費用は一律ではありません。まず、事業内容や社員数などにより審査工数（何人の審査員で何日かかるか）が決まります。その上で、審査機関ごとの単価がかけられて定価が決まり、そこから各種の条件により割引が行われて見積金額が提示されます。そうです。プライバシーマークの審査費用は定価方式で、どこの審査機関に頼んでも同じ金額が出てきますが、ISMSの審査費用は自由な値付けをしていて、相見積もりをとると割引が行われることもあるのです。

ISMS取得審査の費用は最小規模でも60万円程度、大きな企業になると審査工数が増えていくので、その分上限なく設定されます。（大きな企業の場合、審査費用に何千万円や何億円も支払っている場合もあると思われます）

期間

ISMSの審査にかかる期間は、おおよそ3か月～4か月ほど。
申込みから審査まで、一次審査と二次審査、審査終了から認証取得が、それぞれ約1か月と考えておくと良いでしょう。しかし、これはあくまでも審査のみの期間で、情報セキュリティのシステムを構築するところからカウントすると、10か月～12か月程度必要だと考えてください。ただし、この期間はコンサルタントに依頼をすれば、短縮できる場合もあります。

ISMSの取得審査に落ちないためのポイント

ISMSの審査に落ちてしまったり、そもそも審査を受けられないなど、ISO27001が認証できない場合もあり得ます。

ISMSの認証できないケースは

・内部監査が未実施
・審査の費用を未払い
・審査の不適合に応じなかった
・マネジメントレビューが未実施等が挙げられます。
上記の4つは必ず実施し、ISMS取得審査を通過しましょう。
認証範囲を拡大した場合、審査員は新規範囲の運用を、注視しますので要注意です。

オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします！

弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。

• メールへの返信や見積などへの対応スピードが速く、短期取得（約6か月）のサポートができる
• 3万円/月～の分割払いができる
• 東京、大阪、名古屋に支社がある
• オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
• 使いやすいE-ラーニングツールを無料提供している

弊社ではPマークの取得をするのと同時に、御社の情報セキュリティの水準アップが実現できるように全力でサポート致します。

お客様の情報セキュリティの水準がアップすることで、安心、安全を達成し、お客様が本業にまい進していただける状態を作ることを理想と考えているからです。
これからPマークを取得される事業者様はぜひ、お気軽にご相談下さい。