ISMSの取得審査で審査されることとは？

ISMS取得の指示を受けたものの、やることが多すぎてお困りの方向けに、審査のポイントを簡潔にお伝えします。審査に落ちないために有効な対策もご紹介しているので、確実なISMSの認証取得に、ご活用ください。

ISMS取得審査の概要

初めてISMSの審査を受ける場合、費用や審査にかかる期間など、わからないことも多いのではないでしょうか。ここからは、ISMS認証審査を検討中のご担当の方に向けて、審査にかかる期間や費用についてご紹介しています。

審査にかかる期間

ISMSの取得審査にかかる期間は、3〜4ヵ月程度です。

申し込みから審査までが約1ヵ月、一次審査と二次審査に約1ヵ月、審査終了から認証取得まで約1ヵ月です。しかし、構築から認証取得にかかる期間となると、平均でも6ヵ月〜1年。一方で、コンサルティング会社を利用することにより、最短4ヶ月程度で取得することも可能なため、金銭的なコストや時間的なコストを考える必要があります。

審査の種類

ISMS審査は3種類。新規認証時の審査、更新審査と維持審査です。維持審査は、年1〜2回実施され、認証時の仕組みが機能しているかどうかをチェックします。部分的なチェックなので新規認証時の審査に比べて工数は少ない傾向にあります。

更新審査は、認証登録証の有効期限が切れる前に、それまで3年間の運用状況の確認を行い、更新に問題がないかどうかを確認します。また、不適合と指摘され、是正が期限に間に合わないと、認証の一時停止などの措置が下されてしまう可能性もあります。自社での対応だけでは不安がある場合には、更新の支援を行うプロへの相談も検討してみましょう。

審査の費用

初回の審査にかかる費用は、500,000〜1,000,000円程度が一般的な相場のようです。どの程度の費用がかかるかは、前もって知っておく必要がありますが、ISMS認証の費用は、会社の規模や申請する審査機関によっても変わります。あくまでも概算ですが、1〜10名規模であれば590,000円、100名を超える規模になると160万円以上など、会社によって幅があります。

審査機関の選定

選定のポイントは自社との相性。ISMSの審査機関は、どこも適正な審査が行える組織ばかりです。ただ、機関によって審査の内容に違いがあることは事実です。そのため、相性が良くない審査機関を選んでしまうと大変な思いをします。また、対応のスピードや費用は適切かなども審査機関を選ぶポイントになります。

ISMSの取得の第一審査とは？

ISMSの取得審査には、第一審査と第二審査があります。このうち、第一審査の目的は文書フォーマットの確認。主に、ISMSの関連文書、運用マニュアルや規定などの文書や記録が、SMSの要件を満たしているか、適切に整備されているかなどの確認です。

準備すべきものは、ISMSを構築する上で作成したネットワーク図やガイドライン、組織図などの文書類。また、審査時にはオフィス内やネットワークの状況を、審査員が現場に入って確認することもあります。「PCを起動した状態のままで席を離れるときはロック画面にする」や「クリアデスクの徹底」といったルールを文書の中に記載しているにもかかわらず、ルールに則った対応が徹底されていないと、審査員の目に留まって注意を受けることになりますので注意が必要です。

また、トップインタビューを行うこともあるので、情報セキュリティの管理者や担当者だけでなく、質問に対応できる立場にある人の出席も予定しておきましょう。情報セキュリティの方針や今後の情報セキュリティの展望といった質問を受けることも考えられます。

想定される質問を把握しておくとともに、情報セキュリティ方針についての認識が、ISMS責任者や各部署の担当者と整合しているかの確認も必要です。ただし、マネジメントレビューがまだ終わっていない場合などは、無理にトップインタビューを受けず、審査員の方に第二審査まで延ばしたいと願い出ることで、スケジュールを見直してもらえるようです。

第一審査の流れイメージ

1. オープニング：審査ポリシーや審査基準、審査方法の説明。
2. トップインタビュー：認証取得のきっかけをはじめとしたトップマネジメントに対するインタビュー。※第二段階審査で実施される場合もあります。
3. ISMS推進体制の確認：認証範囲やISMSの枠組みができているかなどの体制の確認。
4. クロージング：審査員による審査総評。

ISMSの取得の第二審査とは？

ISMSの取得審査の第二審査の目的は、実際の運用状況を確認すること。第一審査から、約1ヵ月後に行われることが多いようです。主に、実際の運用がISMSの関連文書に沿って運用されているかどうかを確認します。加えて、第一審査で確認した、書面上のルールが実際に機能しているか、従業員が遵守しているかについても確認します。

この際、現場チェックは、審査員によってチェックの仕方は異なります。従業員の方々には事前にルールをしっかりと認識し、徹底してもらえるようにしておくことも重要です。

また、トップインタビューを受ける立場にある人は、マネジメントレビューに求められている内容について尋ねられるほか、情報セキュリティへのリスク対応などに経営陣がコミットしているかどうかなど、その対象は多岐にわたります。トップインタビューを受ける方は、あらかじめ確認しておくと良いでしょう。

第二審査の流れイメージ

1. オープニング：審査ポリシーや審査基準、審査方法の説明。
2. 運用状況の確認：現場内部監査実施結果やマネジメントレビュー結果などを確認。
3. ISMS推進の確認：現場へのISMS浸透度や実際の業務・情報の取り扱いなどについて確認。
4. クロージング：審査員による審査総評。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

ISMS取得審査で不合格になるケースとは？

審査に落ちないためには、計画的な準備が欠かせません。これからISMS取得に取り組まれる方のために、ISMS取得審査で不合格にならないためのポイントを解説します。ご担当の方は、ぜひ参考にしてください。

重大な不適合

要求事項を満たしていない、情報セキュリティの管理に大きな欠陥があると判断された状態のことで、再審査や認証取り消しの可能性もあります。重大な不適合になる要因には、構築も運用もされていない、必要な記録がない、マネジメントレビューが実施されていないなどがあげられます。

ISMSを取得するためには、審査に合格する必要があります。これは、重大な不適合を出さないということです。軽微な不適合と違い、審査が一時中断となる場合もあります。

ISMS取得には、さまざまなプロセスを含む準備が必要です。特に、情報セキュリティについてのリスクアセスメントは確実に行い、審査の準備をする必要があります。こうした事前の準備を確実に行なうことが、審査での不合格を避けることにもつながります。

軽微な不適合

要求事項の一部を満たしていない、意図した結果を達成する能力に影響を与えない程度の不適合と判断された状態であり、審査が中断されるわけではありません。指摘された不適合を期日以内に是正し、報告書を提出します。次回の継続審査までに必要な事項が認められた場合は、認証されます。

観察事項

要求事項は満たしている、ルール通りの運用は行っているが、改善した方が良い事項のことです。不適合ではないが、改善されなければ将来的に不適合につながる可能性がある、隠れた課題を提起するものです。

審査で受ける指摘は、普段の業務の中では気づかない事や運用上の欠陥などを客観的な視点で見つけてもらえたということです。前向きに対応を検討し、改善が確認されれば認証されます。観察事項のほかに、推奨事項といわれることもあります。

審査に落ちないためには

自社単独で取得するのはハードルが高いといわれるISMSの取得。ISMSの審査に必要な準備について解説をしてきましたが、読み始める前の不安が払拭されたどころか、かえって不安が増したというご担当の方も多いのではないでしょうか。ガイドラインの日本語訳や情報資産の洗い出しだけでも、未経験者にとっては敷居が高く、費用と期間も考慮しなければなりません。自社だけで取得しようとして、結局つまずくという事態だけは、避けたいものです。

自社にある知識・ノウハウでは難しいと判断した際には、ISMS取得を支援してくれるコンサルを利用するのもひとつの手段です。ISMSのメリットを活用するためにも、取得するための方法を検討しましょう。

ISMS認証取得にかかる費用を見てみる